華為開發(fā)者大會(huì)HMS安全與隱私分論壇 打好信息安全的第一道防線

9月11日下午，華為開發(fā)者大會(huì)安全與隱私分論壇在松山湖順利舉行，其中，華為消費(fèi)者業(yè)務(wù)云服務(wù)部資深安全技術(shù)專家劉德錢對(duì)HMS安全架構(gòu)與數(shù)據(jù)保護(hù)做了詳細(xì)解析，不僅層層深入地介紹了HMS Core從開發(fā)者接入到服務(wù)處理的全流程安全機(jī)制，還列舉了典型HMS發(fā)放能力的安全與數(shù)據(jù)保護(hù)技術(shù)，讓人印象深刻。

華為HMS Core —— 面向全球開發(fā)者的移動(dòng)核心服務(wù)

華為HMS Core全面開放軟硬件能力，覆蓋“1+8+N”，把華為“芯-端-云” 優(yōu)質(zhì)軟硬件能力開放給全球開發(fā)者，這有效降低了開發(fā)門檻和成本，使開發(fā)者可以更加高效地開發(fā)、靈活創(chuàng)新，為用戶提供精品應(yīng)用內(nèi)容、服務(wù)及體驗(yàn)。劉德錢首先介紹道，HMS Core在這些應(yīng)用與底層操作系統(tǒng)間起到了關(guān)鍵性的紐帶作用，也幫助應(yīng)用獲得了更多的用戶、更高的活躍度和更高效的商業(yè)成功。

被“開放”的HMS Core，隱私與安全如何保障？——5大安全技術(shù)支柱

劉德錢介紹到，開發(fā)者接入HMS Core開放能力需要經(jīng)過(guò)以下三步：開發(fā)者聯(lián)盟門戶的注冊(cè) - 申請(qǐng)接入和獲取認(rèn)證憑證 - 開發(fā)者集成HMS SDK(HMS軟件開發(fā)工作包)使用開放能力，HMS進(jìn)行接入認(rèn)證。

其中5大安全技術(shù)支柱保障：

認(rèn)證鑒權(quán)：用戶認(rèn)證、接入認(rèn)證、設(shè)備認(rèn)證;

數(shù)據(jù)安全與隱私保護(hù)：數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)使用安全、數(shù)據(jù)傳輸安全、密鑰管理、隱私保護(hù);

內(nèi)容保護(hù)：版權(quán)保護(hù)、數(shù)字水印、防盜鏈;

應(yīng)用安全：上架四重檢測(cè)、下載安裝保障、運(yùn)行防護(hù)機(jī)制;

業(yè)務(wù)風(fēng)控：帳號(hào)風(fēng)控、交易風(fēng)控、內(nèi)容風(fēng)控、廣告防作弊;

從開發(fā)者接入HMS Core，到HMS App和三方App的最終應(yīng)用，“HMS Core的5大安全技術(shù)成為隱私與安全的最有力防線!”

HMS Core接入認(rèn)證

他指出，HMS Core接入認(rèn)證時(shí)的安全保證有認(rèn)證憑據(jù)、接入約束和權(quán)限控制3種措施。開發(fā)者訪問(wèn)HMS Core的開放能力時(shí)，需要先在開發(fā)者聯(lián)盟網(wǎng)站創(chuàng)建認(rèn)證憑據(jù)，開發(fā)者應(yīng)用通過(guò)攜帶的認(rèn)證憑據(jù)訪問(wèn)HMS開放能力。當(dāng)前支持的憑據(jù)有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據(jù)使用安全隨機(jī)數(shù)生成，生成后在服務(wù)器使用AES-GCM加速算法進(jìn)行加密后存儲(chǔ)，防止認(rèn)證憑據(jù)泄露。

除了開發(fā)者層面上的保障措施，劉德錢補(bǔ)充道，在應(yīng)用市場(chǎng)層面，HMS Core實(shí)行上架四重檢測(cè)、下載安裝保障、運(yùn)行防護(hù)機(jī)制的保障機(jī)制。

幾種HMS Core典型開放能力的數(shù)據(jù)保護(hù)

帳號(hào)安全保障方面，Account kit為應(yīng)用提供安全便捷的登錄能力，例如采用當(dāng)下主流的FIDO免密身份認(rèn)證登錄，確保賬戶數(shù)據(jù)等安全。除了集成FIDO Kit，華為帳號(hào)服務(wù)在登錄、重置密碼等環(huán)節(jié)都設(shè)置了主動(dòng)風(fēng)控監(jiān)測(cè)機(jī)制來(lái)防止帳號(hào)盜用，并將操作異常等多種風(fēng)險(xiǎn)識(shí)別手段與專家規(guī)則、機(jī)器學(xué)習(xí)結(jié)合，用來(lái)識(shí)別虛假帳號(hào)、防止垃圾注冊(cè)。這樣，華為終端云風(fēng)控平臺(tái)就可以做到快速精確地識(shí)別風(fēng)險(xiǎn)，從而保障用戶合法權(quán)益。

劉接著以基于PKI(公鑰基礎(chǔ)設(shè)施)的指紋及人臉支付，和交易支付時(shí)的活體檢測(cè)這一更加強(qiáng)有力的風(fēng)控措施為例，介紹了IAP kit如何在應(yīng)用中提供安全便捷的支付服務(wù)，在PKI體系下，線上支付更加安全。這些密鑰或證書被有效管理，從而為客戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。

又例如生活中常見(jiàn)的推送服務(wù)，Push kit基于Push Token接入認(rèn)證App，為不同設(shè)備里的各個(gè)應(yīng)用都分配一個(gè)獨(dú)一無(wú)二的token，并對(duì)Push消息加密緩存、自動(dòng)審核敏感信息，使得跨平臺(tái)的推送服務(wù)更精準(zhǔn)可靠;傳輸安全方面，劉德錢介紹道，使用會(huì)話密鑰加密Push消息，輔以訂閱消息完整性保護(hù)措施，使得信息傳輸更安全!

不放過(guò)每個(gè)細(xì)節(jié)：全流程的安全隱私質(zhì)量保證

劉德錢說(shuō)，HMS Core的安全防護(hù)措施，從剛開始的需求分析、安全設(shè)計(jì)，到安全代碼的開發(fā)、安全測(cè)試都盡量做到抓準(zhǔn)每一步、不放過(guò)每個(gè)細(xì)節(jié)。例如安全編碼方面，要求輸出針對(duì)HMS項(xiàng)目的安全開發(fā)指南，并輸出可以覆蓋到43個(gè)端云安全漏洞的防護(hù)沙盤，千錘百煉，提供優(yōu)秀的安全編碼實(shí)踐;再比如安全測(cè)試方面，實(shí)施雙重防線，除了華為終端云服務(wù)部，還有ICSL(華為公司網(wǎng)絡(luò)安全實(shí)驗(yàn)室)投入40+安全測(cè)試人員重重防守。

我們?cè)谛袆?dòng)：SilverNeedle銀針實(shí)驗(yàn)室

最后，劉德錢介紹了HMS目前在實(shí)施的守護(hù)者計(jì)劃。面對(duì)外來(lái)藍(lán)軍攻擊，HMS自建藍(lán)軍，SilverNeedle Lab,專注于研究防范外來(lái)藍(lán)軍攻擊。前不久，SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍，匯集了60位攻防經(jīng)驗(yàn)豐富的一線安全研究員，共同討論滲透工具、生物認(rèn)證、OAuth2、HMS安全攻防等熱門議題。

除了自建藍(lán)軍，HMS還與業(yè)界知名安全公司NCC等公司合作，進(jìn)行安全測(cè)試。目前第一階段HMS安全眾測(cè)已經(jīng)完成邀請(qǐng)了騰訊、360、長(zhǎng)亭科技、安恒等13家業(yè)界TOP團(tuán)隊(duì)及60+獎(jiǎng)勵(lì)計(jì)劃受邀高質(zhì)量白帽(覆蓋國(guó)內(nèi)、歐洲、新加坡、俄羅斯等區(qū)域)，針對(duì)HMS (包括HMS Core和HMS App等)進(jìn)行安全滲透測(cè)試。

第二階段(2020年1月-8月)，HMS Core正在進(jìn)行歐洲專項(xiàng)測(cè)試，采購(gòu)歐洲安全廠商N(yùn)CC的專業(yè)服務(wù)對(duì)HMS Core進(jìn)行專項(xiàng)在線滲透測(cè)試，本次覆蓋現(xiàn)網(wǎng)全部24個(gè)Kit，一階段共計(jì)11個(gè)Kit的滲透測(cè)試活動(dòng)已經(jīng)完成。

第三階段HMS Core正在規(guī)劃HMS安全挑戰(zhàn)賽，邀請(qǐng)全球應(yīng)用開發(fā)者及安全研究員針對(duì)HMS產(chǎn)品發(fā)起滲透測(cè)試，大賽面向全球的開發(fā)者和安全研究員。并設(shè)置百萬(wàn)獎(jiǎng)金池，用于獎(jiǎng)勵(lì)比賽中發(fā)現(xiàn)的高價(jià)值漏洞，最高單個(gè)漏洞獎(jiǎng)勵(lì)42萬(wàn)。

總而言之，HMS Core在安全保障與測(cè)試方面的腳步從未停止，隨著HMS Core功能不斷更新完善，未來(lái)全球化市場(chǎng)中HMS嚴(yán)密的安全保障工作重要性不言而喻，經(jīng)過(guò)更多測(cè)試者和開發(fā)投入后的HMS Core安全體系必將更加完善!

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）