華為開發(fā)者大會HMS安全與隱私分論壇 打好信息安全的第一道防線

9月11日下午，華為開發(fā)者大會安全與隱私分論壇在松山湖順利舉行，其中，華為消費者業(yè)務(wù)云服務(wù)部資深安全技術(shù)專家劉德錢對HMS安全架構(gòu)與數(shù)據(jù)保護(hù)做了詳細(xì)解析，不僅層層深入地介紹了HMS Core從開發(fā)者接入到服務(wù)處理的全流程安全機制，還列舉了典型HMS發(fā)放能力的安全與數(shù)據(jù)保護(hù)技術(shù)，讓人印象深刻。

華為HMS Core —— 面向全球開發(fā)者的移動核心服務(wù)

華為HMS Core全面開放軟硬件能力，覆蓋“1+8+N”，把華為“芯-端-云” 優(yōu)質(zhì)軟硬件能力開放給全球開發(fā)者，這有效降低了開發(fā)門檻和成本，使開發(fā)者可以更加高效地開發(fā)、靈活創(chuàng)新，為用戶提供精品應(yīng)用內(nèi)容、服務(wù)及體驗。劉德錢首先介紹道，HMS Core在這些應(yīng)用與底層操作系統(tǒng)間起到了關(guān)鍵性的紐帶作用，也幫助應(yīng)用獲得了更多的用戶、更高的活躍度和更高效的商業(yè)成功。

被“開放”的HMS Core，隱私與安全如何保障？——5大安全技術(shù)支柱

劉德錢介紹到，開發(fā)者接入HMS Core開放能力需要經(jīng)過以下三步：開發(fā)者聯(lián)盟門戶的注冊 - 申請接入和獲取認(rèn)證憑證 - 開發(fā)者集成HMS SDK(HMS軟件開發(fā)工作包)使用開放能力，HMS進(jìn)行接入認(rèn)證。

其中5大安全技術(shù)支柱保障：

認(rèn)證鑒權(quán)：用戶認(rèn)證、接入認(rèn)證、設(shè)備認(rèn)證;

數(shù)據(jù)安全與隱私保護(hù)：數(shù)據(jù)安全存儲、數(shù)據(jù)使用安全、數(shù)據(jù)傳輸安全、密鑰管理、隱私保護(hù);

內(nèi)容保護(hù)：版權(quán)保護(hù)、數(shù)字水印、防盜鏈;

應(yīng)用安全：上架四重檢測、下載安裝保障、運行防護(hù)機制;

業(yè)務(wù)風(fēng)控：帳號風(fēng)控、交易風(fēng)控、內(nèi)容風(fēng)控、廣告防作弊;

從開發(fā)者接入HMS Core，到HMS App和三方App的最終應(yīng)用，“HMS Core的5大安全技術(shù)成為隱私與安全的最有力防線!”

HMS Core接入認(rèn)證

他指出，HMS Core接入認(rèn)證時的安全保證有認(rèn)證憑據(jù)、接入約束和權(quán)限控制3種措施。開發(fā)者訪問HMS Core的開放能力時，需要先在開發(fā)者聯(lián)盟網(wǎng)站創(chuàng)建認(rèn)證憑據(jù)，開發(fā)者應(yīng)用通過攜帶的認(rèn)證憑據(jù)訪問HMS開放能力。當(dāng)前支持的憑據(jù)有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據(jù)使用安全隨機數(shù)生成，生成后在服務(wù)器使用AES-GCM加速算法進(jìn)行加密后存儲，防止認(rèn)證憑據(jù)泄露。

除了開發(fā)者層面上的保障措施，劉德錢補充道，在應(yīng)用市場層面，HMS Core實行上架四重檢測、下載安裝保障、運行防護(hù)機制的保障機制。

幾種HMS Core典型開放能力的數(shù)據(jù)保護(hù)

帳號安全保障方面，Account kit為應(yīng)用提供安全便捷的登錄能力，例如采用當(dāng)下主流的FIDO免密身份認(rèn)證登錄，確保賬戶數(shù)據(jù)等安全。除了集成FIDO Kit，華為帳號服務(wù)在登錄、重置密碼等環(huán)節(jié)都設(shè)置了主動風(fēng)控監(jiān)測機制來防止帳號盜用，并將操作異常等多種風(fēng)險識別手段與專家規(guī)則、機器學(xué)習(xí)結(jié)合，用來識別虛假帳號、防止垃圾注冊。這樣，華為終端云風(fēng)控平臺就可以做到快速精確地識別風(fēng)險，從而保障用戶合法權(quán)益。

劉接著以基于PKI(公鑰基礎(chǔ)設(shè)施)的指紋及人臉支付，和交易支付時的活體檢測這一更加強有力的風(fēng)控措施為例，介紹了IAP kit如何在應(yīng)用中提供安全便捷的支付服務(wù)，在PKI體系下，線上支付更加安全。這些密鑰或證書被有效管理，從而為客戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境。

又例如生活中常見的推送服務(wù)，Push kit基于Push Token接入認(rèn)證App，為不同設(shè)備里的各個應(yīng)用都分配一個獨一無二的token，并對Push消息加密緩存、自動審核敏感信息，使得跨平臺的推送服務(wù)更精準(zhǔn)可靠;傳輸安全方面，劉德錢介紹道，使用會話密鑰加密Push消息，輔以訂閱消息完整性保護(hù)措施，使得信息傳輸更安全!

不放過每個細(xì)節(jié)：全流程的安全隱私質(zhì)量保證

劉德錢說，HMS Core的安全防護(hù)措施，從剛開始的需求分析、安全設(shè)計，到安全代碼的開發(fā)、安全測試都盡量做到抓準(zhǔn)每一步、不放過每個細(xì)節(jié)。例如安全編碼方面，要求輸出針對HMS項目的安全開發(fā)指南，并輸出可以覆蓋到43個端云安全漏洞的防護(hù)沙盤，千錘百煉，提供優(yōu)秀的安全編碼實踐;再比如安全測試方面，實施雙重防線，除了華為終端云服務(wù)部，還有ICSL(華為公司網(wǎng)絡(luò)安全實驗室)投入40+安全測試人員重重防守。

我們在行動：SilverNeedle銀針實驗室

最后，劉德錢介紹了HMS目前在實施的守護(hù)者計劃。面對外來藍(lán)軍攻擊，HMS自建藍(lán)軍，SilverNeedle Lab,專注于研究防范外來藍(lán)軍攻擊。前不久，SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍，匯集了60位攻防經(jīng)驗豐富的一線安全研究員，共同討論滲透工具、生物認(rèn)證、OAuth2、HMS安全攻防等熱門議題。

除了自建藍(lán)軍，HMS還與業(yè)界知名安全公司NCC等公司合作，進(jìn)行安全測試。目前第一階段HMS安全眾測已經(jīng)完成邀請了騰訊、360、長亭科技、安恒等13家業(yè)界TOP團(tuán)隊及60+獎勵計劃受邀高質(zhì)量白帽(覆蓋國內(nèi)、歐洲、新加坡、俄羅斯等區(qū)域)，針對HMS (包括HMS Core和HMS App等)進(jìn)行安全滲透測試。

第二階段(2020年1月-8月)，HMS Core正在進(jìn)行歐洲專項測試，采購歐洲安全廠商NCC的專業(yè)服務(wù)對HMS Core進(jìn)行專項在線滲透測試，本次覆蓋現(xiàn)網(wǎng)全部24個Kit，一階段共計11個Kit的滲透測試活動已經(jīng)完成。

第三階段HMS Core正在規(guī)劃HMS安全挑戰(zhàn)賽，邀請全球應(yīng)用開發(fā)者及安全研究員針對HMS產(chǎn)品發(fā)起滲透測試，大賽面向全球的開發(fā)者和安全研究員。并設(shè)置百萬獎金池，用于獎勵比賽中發(fā)現(xiàn)的高價值漏洞，最高單個漏洞獎勵42萬。

總而言之，HMS Core在安全保障與測試方面的腳步從未停止，隨著HMS Core功能不斷更新完善，未來全球化市場中HMS嚴(yán)密的安全保障工作重要性不言而喻，經(jīng)過更多測試者和開發(fā)投入后的HMS Core安全體系必將更加完善!

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）