9月11日下午,華為開發(fā)者大會安全與隱私分論壇在松山湖順利舉行,其中,華為消費者業(yè)務(wù)云服務(wù)部資深安全技術(shù)專家劉德錢對HMS安全架構(gòu)與數(shù)據(jù)保護(hù)做了詳細(xì)解析,不僅層層深入地介紹了HMS Core從開發(fā)者接入到服務(wù)處理的全流程安全機(jī)制,還列舉了典型HMS發(fā)放能力的安全與數(shù)據(jù)保護(hù)技術(shù),讓人印象深刻。
華為HMS Core ——面向全球開發(fā)者的移動核心服務(wù)
華為HMS Core全面開放軟硬件能力,覆蓋“1+8+N”,把華為“芯-端-云” 優(yōu)質(zhì)軟硬件能力開放給全球開發(fā)者,這有效降低了開發(fā)門檻和成本,使開發(fā)者可以更加高效地開發(fā)、靈活創(chuàng)新,為用戶提供精品應(yīng)用內(nèi)容、服務(wù)及體驗。劉德錢首先介紹道,HMS Core在這些應(yīng)用與底層操作系統(tǒng)間起到了關(guān)鍵性的紐帶作用,也幫助應(yīng)用獲得了更多的用戶、更高的活躍度和更高效的商業(yè)成功。
被“開放”的HMS Core,隱私與安全如何保障?——5大安全技術(shù)支柱
劉德錢介紹到,開發(fā)者接入HMS Core開放能力需要經(jīng)過以下三步:開發(fā)者聯(lián)盟門戶的注冊 - 申請接入和獲取認(rèn)證憑證 - 開發(fā)者集成HMS SDK(HMS軟件開發(fā)工作包)使用開放能力,HMS進(jìn)行接入認(rèn)證。
其中5大安全技術(shù)支柱保障:
認(rèn)證鑒權(quán):用戶認(rèn)證、接入認(rèn)證、設(shè)備認(rèn)證;
數(shù)據(jù)安全與隱私保護(hù):數(shù)據(jù)安全存儲、數(shù)據(jù)使用安全、數(shù)據(jù)傳輸安全、密鑰管理、隱私保護(hù);
內(nèi)容保護(hù):版權(quán)保護(hù)、數(shù)字水印、防盜鏈;
應(yīng)用安全:上架四重檢測、下載安裝保障、運(yùn)行防護(hù)機(jī)制;
業(yè)務(wù)風(fēng)控:帳號風(fēng)控、交易風(fēng)控、內(nèi)容風(fēng)控、廣告防作弊;
從開發(fā)者接入HMS Core,到HMS App和三方App的最終應(yīng)用,“HMS Core的5大安全技術(shù)成為隱私與安全的最有力防線!”
HMS Core接入認(rèn)證
他指出,HMS Core接入認(rèn)證時的安全保證有認(rèn)證憑據(jù)、接入約束和權(quán)限控制3種措施。開發(fā)者訪問HMS Core的開放能力時,需要先在開發(fā)者聯(lián)盟網(wǎng)站創(chuàng)建認(rèn)證憑據(jù),開發(fā)者應(yīng)用通過攜帶的認(rèn)證憑據(jù)訪問HMS開放能力。當(dāng)前支持的憑據(jù)有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據(jù)使用安全隨機(jī)數(shù)生成,生成后在服務(wù)器使用AES-GCM加速算法進(jìn)行加密后存儲,防止認(rèn)證憑據(jù)泄露。
除了開發(fā)者層面上的保障措施,劉德錢補(bǔ)充道,在應(yīng)用市場層面,HMS Core實行上架四重檢測、下載安裝保障、運(yùn)行防護(hù)機(jī)制的保障機(jī)制。
幾種HMS Core典型開放能力的數(shù)據(jù)保護(hù)
帳號安全保障方面,Account kit為應(yīng)用提供安全便捷的登錄能力,例如采用當(dāng)下主流的FIDO免密身份認(rèn)證登錄,確保賬戶數(shù)據(jù)等安全。除了集成FIDO Kit,華為帳號服務(wù)在登錄、重置密碼等環(huán)節(jié)都設(shè)置了主動風(fēng)控監(jiān)測機(jī)制來防止帳號盜用,并將操作異常等多種風(fēng)險識別手段與專家規(guī)則、機(jī)器學(xué)習(xí)結(jié)合,用來識別虛假帳號、防止垃圾注冊。這樣,華為終端云風(fēng)控平臺就可以做到快速精確地識別風(fēng)險,從而保障用戶合法權(quán)益。
劉接著以基于PKI(公鑰基礎(chǔ)設(shè)施)的指紋及人臉支付,和交易支付時的活體檢測這一更加強(qiáng)有力的風(fēng)控措施為例,介紹了IAP kit如何在應(yīng)用中提供安全便捷的支付服務(wù),在PKI體系下,線上支付更加安全。這些密鑰或證書被有效管理,從而為客戶建立起一個安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。
又例如生活中常見的推送服務(wù),Push kit基于Push Token接入認(rèn)證App,為不同設(shè)備里的各個應(yīng)用都分配一個獨一無二的token,并對Push消息加密緩存、自動審核敏感信息,使得跨平臺的推送服務(wù)更精準(zhǔn)可靠;傳輸安全方面,劉德錢介紹道,使用會話密鑰加密Push消息,輔以訂閱消息完整性保護(hù)措施,使得信息傳輸更安全!
不放過每個細(xì)節(jié):全流程的安全隱私質(zhì)量保證
劉德錢說,HMS Core的安全防護(hù)措施,從剛開始的需求分析、安全設(shè)計,到安全代碼的開發(fā)、安全測試都盡量做到抓準(zhǔn)每一步、不放過每個細(xì)節(jié)。例如安全編碼方面,要求輸出針對HMS項目的安全開發(fā)指南,并輸出可以覆蓋到43個端云安全漏洞的防護(hù)沙盤,千錘百煉,提供優(yōu)秀的安全編碼實踐;再比如安全測試方面,實施雙重防線,除了華為終端云服務(wù)部,還有ICSL(華為公司網(wǎng)絡(luò)安全實驗室)投入40+安全測試人員重重防守。
我們在行動:SilverNeedle銀針實驗室
最后,劉德錢介紹了HMS目前在實施的守護(hù)者計劃。面對外來藍(lán)軍攻擊,HMS自建藍(lán)軍,SilverNeedle Lab,專注于研究防范外來藍(lán)軍攻擊。前不久,SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍,匯集了60位攻防經(jīng)驗豐富的一線安全研究員,共同討論滲透工具、生物認(rèn)證、OAuth2、HMS安全攻防等熱門議題。
除了自建藍(lán)軍,HMS還與業(yè)界知名安全公司NCC等公司合作,進(jìn)行安全測試。目前第一階段HMS安全眾測已經(jīng)完成邀請了騰訊、360、長亭科技、安恒等13家業(yè)界TOP團(tuán)隊及60+獎勵計劃受邀高質(zhì)量白帽(覆蓋國內(nèi)、歐洲、新加坡、俄羅斯等區(qū)域),針對HMS (包括HMS Core和HMS App等)進(jìn)行安全滲透測試。
第二階段(2020年1月-8月),HMS Core正在進(jìn)行歐洲專項測試,采購歐洲安全廠商N(yùn)CC的專業(yè)服務(wù)對HMS Core進(jìn)行專項在線滲透測試,本次覆蓋現(xiàn)網(wǎng)全部24個Kit,一階段共計11個Kit的滲透測試活動已經(jīng)完成。
第三階段HMS Core正在規(guī)劃HMS安全挑戰(zhàn)賽,邀請全球應(yīng)用開發(fā)者及安全研究員針對HMS產(chǎn)品發(fā)起滲透測試,大賽面向全球的開發(fā)者和安全研究員。并設(shè)置百萬獎金池,用于獎勵比賽中發(fā)現(xiàn)的高價值漏洞,最高單個漏洞獎勵42萬。
總而言之,HMS Core在安全保障與測試方面的腳步從未停止,隨著HMS Core功能不斷更新完善,未來全球化市場中HMS嚴(yán)密的安全保障工作重要性不言而喻,經(jīng)過更多測試者和開發(fā)投入后的HMS Core安全體系必將更加完善!
暴雨天安全行車技巧隧道駕駛安全注意事項綜合安全科普系列高層建筑之風(fēng)險汛期來了 地質(zhì)災(zāi)害咋防治?