9月11日下午,華為開發者大會安全與隱私分論壇在松山湖順利舉行,其中,華為消費者業務云服務部資深安全技術專家劉德錢對HMS安全架構與數據保護做了詳細解析,不僅層層深入地介紹了HMS Core從開發者接入到服務處理的全流程安全機制,還列舉了典型HMS發放能力的安全與數據保護技術,讓人印象深刻。
華為HMS Core ——面向全球開發者的移動核心服務
華為HMS Core全面開放軟硬件能力,覆蓋“1+8+N”,把華為“芯-端-云” 優質軟硬件能力開放給全球開發者,這有效降低了開發門檻和成本,使開發者可以更加高效地開發、靈活創新,為用戶提供精品應用內容、服務及體驗。劉德錢首先介紹道,HMS Core在這些應用與底層操作系統間起到了關鍵性的紐帶作用,也幫助應用獲得了更多的用戶、更高的活躍度和更高效的商業成功。
被“開放”的HMS Core,隱私與安全如何保障?——5大安全技術支柱
劉德錢介紹到,開發者接入HMS Core開放能力需要經過以下三步:開發者聯盟門戶的注冊 - 申請接入和獲取認證憑證 - 開發者集成HMS SDK(HMS軟件開發工作包)使用開放能力,HMS進行接入認證。
其中5大安全技術支柱保障:
認證鑒權:用戶認證、接入認證、設備認證;
數據安全與隱私保護:數據安全存儲、數據使用安全、數據傳輸安全、密鑰管理、隱私保護;
內容保護:版權保護、數字水印、防盜鏈;
應用安全:上架四重檢測、下載安裝保障、運行防護機制;
業務風控:帳號風控、交易風控、內容風控、廣告防作弊;
從開發者接入HMS Core,到HMS App和三方App的最終應用,“HMS Core的5大安全技術成為隱私與安全的最有力防線!”
HMS Core接入認證
他指出,HMS Core接入認證時的安全保證有認證憑據、接入約束和權限控制3種措施。開發者訪問HMS Core的開放能力時,需要先在開發者聯盟網站創建認證憑據,開發者應用通過攜帶的認證憑據訪問HMS開放能力。當前支持的憑據有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據使用安全隨機數生成,生成后在服務器使用AES-GCM加速算法進行加密后存儲,防止認證憑據泄露。
除了開發者層面上的保障措施,劉德錢補充道,在應用市場層面,HMS Core實行上架四重檢測、下載安裝保障、運行防護機制的保障機制。
幾種HMS Core典型開放能力的數據保護
帳號安全保障方面,Account kit為應用提供安全便捷的登錄能力,例如采用當下主流的FIDO免密身份認證登錄,確保賬戶數據等安全。除了集成FIDO Kit,華為帳號服務在登錄、重置密碼等環節都設置了主動風控監測機制來防止帳號盜用,并將操作異常等多種風險識別手段與專家規則、機器學習結合,用來識別虛假帳號、防止垃圾注冊。這樣,華為終端云風控平臺就可以做到快速精確地識別風險,從而保障用戶合法權益。
劉接著以基于PKI(公鑰基礎設施)的指紋及人臉支付,和交易支付時的活體檢測這一更加強有力的風控措施為例,介紹了IAP kit如何在應用中提供安全便捷的支付服務,在PKI體系下,線上支付更加安全。這些密鑰或證書被有效管理,從而為客戶建立起一個安全的網絡運行環境。
又例如生活中常見的推送服務,Push kit基于Push Token接入認證App,為不同設備里的各個應用都分配一個獨一無二的token,并對Push消息加密緩存、自動審核敏感信息,使得跨平臺的推送服務更精準可靠;傳輸安全方面,劉德錢介紹道,使用會話密鑰加密Push消息,輔以訂閱消息完整性保護措施,使得信息傳輸更安全!
不放過每個細節:全流程的安全隱私質量保證
劉德錢說,HMS Core的安全防護措施,從剛開始的需求分析、安全設計,到安全代碼的開發、安全測試都盡量做到抓準每一步、不放過每個細節。例如安全編碼方面,要求輸出針對HMS項目的安全開發指南,并輸出可以覆蓋到43個端云安全漏洞的防護沙盤,千錘百煉,提供優秀的安全編碼實踐;再比如安全測試方面,實施雙重防線,除了華為終端云服務部,還有ICSL(華為公司網絡安全實驗室)投入40+安全測試人員重重防守。
我們在行動:SilverNeedle銀針實驗室
最后,劉德錢介紹了HMS目前在實施的守護者計劃。面對外來藍軍攻擊,HMS自建藍軍,SilverNeedle Lab,專注于研究防范外來藍軍攻擊。前不久,SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍,匯集了60位攻防經驗豐富的一線安全研究員,共同討論滲透工具、生物認證、OAuth2、HMS安全攻防等熱門議題。
除了自建藍軍,HMS還與業界知名安全公司NCC等公司合作,進行安全測試。目前第一階段HMS安全眾測已經完成邀請了騰訊、360、長亭科技、安恒等13家業界TOP團隊及60+獎勵計劃受邀高質量白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區域),針對HMS (包括HMS Core和HMS App等)進行安全滲透測試。
第二階段(2020年1月-8月),HMS Core正在進行歐洲專項測試,采購歐洲安全廠商NCC的專業服務對HMS Core進行專項在線滲透測試,本次覆蓋現網全部24個Kit,一階段共計11個Kit的滲透測試活動已經完成。
第三階段HMS Core正在規劃HMS安全挑戰賽,邀請全球應用開發者及安全研究員針對HMS產品發起滲透測試,大賽面向全球的開發者和安全研究員。并設置百萬獎金池,用于獎勵比賽中發現的高價值漏洞,最高單個漏洞獎勵42萬。
總而言之,HMS Core在安全保障與測試方面的腳步從未停止,隨著HMS Core功能不斷更新完善,未來全球化市場中HMS嚴密的安全保障工作重要性不言而喻,經過更多測試者和開發投入后的HMS Core安全體系必將更加完善!
暴雨天安全行車技巧隧道駕駛安全注意事項綜合安全科普系列高層建筑之風險汛期來了 地質災害咋防治?
