華為開發(fā)者大會HMS安全與隱私分論壇 打好信息安全的第一道防線

9月11日下午，華為開發(fā)者大會安全與隱私分論壇在松山湖順利舉行，其中，華為消費者業(yè)務云服務部資深安全技術專家劉德錢對HMS安全架構與數(shù)據(jù)保護做了詳細解析，不僅層層深入地介紹了HMS Core從開發(fā)者接入到服務處理的全流程安全機制，還列舉了典型HMS發(fā)放能力的安全與數(shù)據(jù)保護技術，讓人印象深刻。

華為HMS Core —— 面向全球開發(fā)者的移動核心服務

華為HMS Core全面開放軟硬件能力，覆蓋“1+8+N”，把華為“芯-端-云” 優(yōu)質軟硬件能力開放給全球開發(fā)者，這有效降低了開發(fā)門檻和成本，使開發(fā)者可以更加高效地開發(fā)、靈活創(chuàng)新，為用戶提供精品應用內容、服務及體驗。劉德錢首先介紹道，HMS Core在這些應用與底層操作系統(tǒng)間起到了關鍵性的紐帶作用，也幫助應用獲得了更多的用戶、更高的活躍度和更高效的商業(yè)成功。

被“開放”的HMS Core，隱私與安全如何保障？——5大安全技術支柱

劉德錢介紹到，開發(fā)者接入HMS Core開放能力需要經(jīng)過以下三步：開發(fā)者聯(lián)盟門戶的注冊 - 申請接入和獲取認證憑證 - 開發(fā)者集成HMS SDK(HMS軟件開發(fā)工作包)使用開放能力，HMS進行接入認證。

其中5大安全技術支柱保障：

認證鑒權：用戶認證、接入認證、設備認證;

數(shù)據(jù)安全與隱私保護：數(shù)據(jù)安全存儲、數(shù)據(jù)使用安全、數(shù)據(jù)傳輸安全、密鑰管理、隱私保護;

內容保護：版權保護、數(shù)字水印、防盜鏈;

應用安全：上架四重檢測、下載安裝保障、運行防護機制;

業(yè)務風控：帳號風控、交易風控、內容風控、廣告防作弊;

從開發(fā)者接入HMS Core，到HMS App和三方App的最終應用，“HMS Core的5大安全技術成為隱私與安全的最有力防線!”

HMS Core接入認證

他指出，HMS Core接入認證時的安全保證有認證憑據(jù)、接入約束和權限控制3種措施。開發(fā)者訪問HMS Core的開放能力時，需要先在開發(fā)者聯(lián)盟網(wǎng)站創(chuàng)建認證憑據(jù)，開發(fā)者應用通過攜帶的認證憑據(jù)訪問HMS開放能力。當前支持的憑據(jù)有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據(jù)使用安全隨機數(shù)生成，生成后在服務器使用AES-GCM加速算法進行加密后存儲，防止認證憑據(jù)泄露。

除了開發(fā)者層面上的保障措施，劉德錢補充道，在應用市場層面，HMS Core實行上架四重檢測、下載安裝保障、運行防護機制的保障機制。

幾種HMS Core典型開放能力的數(shù)據(jù)保護

帳號安全保障方面，Account kit為應用提供安全便捷的登錄能力，例如采用當下主流的FIDO免密身份認證登錄，確保賬戶數(shù)據(jù)等安全。除了集成FIDO Kit，華為帳號服務在登錄、重置密碼等環(huán)節(jié)都設置了主動風控監(jiān)測機制來防止帳號盜用，并將操作異常等多種風險識別手段與專家規(guī)則、機器學習結合，用來識別虛假帳號、防止垃圾注冊。這樣，華為終端云風控平臺就可以做到快速精確地識別風險，從而保障用戶合法權益。

劉接著以基于PKI(公鑰基礎設施)的指紋及人臉支付，和交易支付時的活體檢測這一更加強有力的風控措施為例，介紹了IAP kit如何在應用中提供安全便捷的支付服務，在PKI體系下，線上支付更加安全。這些密鑰或證書被有效管理，從而為客戶建立起一個安全的網(wǎng)絡運行環(huán)境。

又例如生活中常見的推送服務，Push kit基于Push Token接入認證App，為不同設備里的各個應用都分配一個獨一無二的token，并對Push消息加密緩存、自動審核敏感信息，使得跨平臺的推送服務更精準可靠;傳輸安全方面，劉德錢介紹道，使用會話密鑰加密Push消息，輔以訂閱消息完整性保護措施，使得信息傳輸更安全!

不放過每個細節(jié)：全流程的安全隱私質量保證

劉德錢說，HMS Core的安全防護措施，從剛開始的需求分析、安全設計，到安全代碼的開發(fā)、安全測試都盡量做到抓準每一步、不放過每個細節(jié)。例如安全編碼方面，要求輸出針對HMS項目的安全開發(fā)指南，并輸出可以覆蓋到43個端云安全漏洞的防護沙盤，千錘百煉，提供優(yōu)秀的安全編碼實踐;再比如安全測試方面，實施雙重防線，除了華為終端云服務部，還有ICSL(華為公司網(wǎng)絡安全實驗室)投入40+安全測試人員重重防守。

我們在行動：SilverNeedle銀針實驗室

最后，劉德錢介紹了HMS目前在實施的守護者計劃。面對外來藍軍攻擊，HMS自建藍軍，SilverNeedle Lab,專注于研究防范外來藍軍攻擊。前不久，SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍，匯集了60位攻防經(jīng)驗豐富的一線安全研究員，共同討論滲透工具、生物認證、OAuth2、HMS安全攻防等熱門議題。

除了自建藍軍，HMS還與業(yè)界知名安全公司NCC等公司合作，進行安全測試。目前第一階段HMS安全眾測已經(jīng)完成邀請了騰訊、360、長亭科技、安恒等13家業(yè)界TOP團隊及60+獎勵計劃受邀高質量白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區(qū)域)，針對HMS (包括HMS Core和HMS App等)進行安全滲透測試。

第二階段(2020年1月-8月)，HMS Core正在進行歐洲專項測試，采購歐洲安全廠商NCC的專業(yè)服務對HMS Core進行專項在線滲透測試，本次覆蓋現(xiàn)網(wǎng)全部24個Kit，一階段共計11個Kit的滲透測試活動已經(jīng)完成。

第三階段HMS Core正在規(guī)劃HMS安全挑戰(zhàn)賽，邀請全球應用開發(fā)者及安全研究員針對HMS產(chǎn)品發(fā)起滲透測試，大賽面向全球的開發(fā)者和安全研究員。并設置百萬獎金池，用于獎勵比賽中發(fā)現(xiàn)的高價值漏洞，最高單個漏洞獎勵42萬。

總而言之，HMS Core在安全保障與測試方面的腳步從未停止，隨著HMS Core功能不斷更新完善，未來全球化市場中HMS嚴密的安全保障工作重要性不言而喻，經(jīng)過更多測試者和開發(fā)投入后的HMS Core安全體系必將更加完善!

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）