发布时间:2022-2-27 分类: 电商动态
9月11日下午,华为开发者大会安全与隐私分论坛在湖,成功举办,华为消费业务云服务部高级安全技术专家松山刘德钱,对HMS安全架构和数据保护做了详细分析,不仅深入介绍了HMSCore从开发者访问到服务处理的全流程安全机制,还列举了典型HMS分发能力的安全和数据保护技术,令人印象深刻。
面向全球开发者的华为HMSCORE ——移动核心服务
华为HMSCORE全面开放软硬件能力,覆盖“1 8 N”,将华为“Core-End-云”的优质软硬件能力开放给全球开发者,有效降低了开发门槛和成本,使开发者能够更高效地开发、灵活地创新,为用户提供优秀的应用内容、服务和体验。刘德钱首先介绍了HMSCore在将这些应用程序与底层操作系统联系起来方面发挥了关键作用,还帮助应用程序获得了更多的用户、更高的活动和更高效的商业成功。
如何保护“开放”的HMSCore的隐私和安全?——5大安全技术支柱
刘德钱介绍,开发者需要经过以下三个步骤才能访问HMSCore的开放能力:注册开发者联盟门户-申请访问并获得认证证书-开发者集成HMSSDK(HMS软件开发工作包)使用开放能力,HMS执行访问认证。
其中,五大安全技术支柱保障:
认证和认证:用户认证、接入认证和设备认证;
数据安全和隐私保护:数据安全存储、数据使用安全、数据传输安全、密钥管理和隐私保护;
内容保护:版权保护、数字水印、防盗链;
应用安全:上架四测、下载安装保障、运行保护机制;
业务风险控制:账户风险控制、交易风险控制、内容风险控制、广告反作弊;
从开发者对HMSCore的访问,到HMSApp和三方App的最终应用,“HMSCore的五大安全技术已经成为隐私和安全方面最强大的防线!”
HMSCore访问身份验证
他指出,HMSCore访问认证有三种安全措施:认证凭证、访问约束和权限控制。开发者在访问HMSCore的开放能力时,需要先在开发者联盟网站上创建认证凭证,开发者可以通过携带的认证凭证访问HMS的开放能力。目前支持的凭证有ApIKey、Oauth2.0ClientID和ServiceAccountKey。这些凭证是通过使用安全随机数生成的,这些随机数在服务器上通过AES-GCM加速算法加密,然后存储起来以防止身份验证凭证泄漏。
除了开发者层面的保障措施,刘德钱补充称,在应用市场层面,HMSCore实行上架四重检测、下载安装保障和运营保障机制的保障机制。
HMSCore几种典型开放功能的数据保护
在账户安全方面,Accountkit为应用提供了安全便捷的登录能力,比如用目前主流的FIDO无密认证登录,保证账户数据的安全。除了集成FIDOKit,华为账户服务还在登录和密码重置中设置了主动风险控制监控机制,防止账户被盗,并将异常操作等各种风险识别方法与专家规则和机器学习相结合,识别虚假账户,防止垃圾注册。这样,华为终端的云风险控制平台就可以快速准确地识别风险,从而保护用户的合法权益。
然后,以基于pKI(公钥基础设施)的指纹和人脸支付以及交易支付过程中的活体检测为例,刘介绍了IApkit如何在应用中提供安全便捷的支付服务,以及在pKI体系下在线支付更安全。这些密钥或证书得到有效管理,从而为客户建立了安全的网络操作环境。
再比如生活中常见的推送服务。pushkit基于pushtoken访问认证App,为不同设备中的每个应用分配唯一的token,对Push消息进行加密缓存,并自动审核敏感信息,使得跨平台推送服务更加精准可靠;在传输安全方面,刘德钱介绍,使用会话密钥对推送消息进行加密,辅以订阅消息完整性保护措施,使得信息传输更加安全!
不要放过每一个细节:全程的安全和隐私质量保证
刘德钱表示,HMSCore的安全防护措施,从最初的需求分析和安全设计,到安全规范的制定和安全测试,尽量把握好每一步,不放过每一个细节。比如在安全编码方面,要求输出一个HMS项目的安全开发指南,输出一个可以覆盖云, 43个安全漏洞的防护沙盘,提供优秀的安全编码实践;另一个例子是在安全测试中实现双防线。除了华为终端的云服务部,ICSL(华为公司网络安全实验室)还投入了40名安全测试人员进行重防。
我们在行动:银针银针实验室
最后,刘德钱介绍了英国皇家海军目前正在实施的“守护者计划”。面对外国蓝军的进攻,HMS建造了自己的蓝军SilverNeedleLab,并重点防范外国蓝军的进攻。前不久,SilverNeedleLab在松山, 湖,举办了攻防渗透主题沙龙,汇聚了60位具有丰富攻防经验的一线安全研究人员,共同探讨渗透工具、生物认证、OAuth2、HMS安全攻防等热点话题。
除了打造自己的蓝军,HMS还与NCC等业内知名安全公司合作进行安全测试。目前,HMS安全公开测试第一阶段已完成,已邀请腾讯, 360、长亭科技、安恒等13个行业TOp团队和60个奖励计划邀请优质白帽(覆盖中国、欧洲, 新加坡, 俄罗斯等地区),对HMS进行安全渗透测试(包括HMSCore、HMSApp等)。).
第二阶段(2020年1-8月),HMSCore正在欧洲,进行专项测试,并向欧洲,安全厂商NCC购买专业服务,对HMSCore进行专项线上渗透测试。此次覆盖现有网络的全部24个kit,第一阶段11个kit的渗透测试活动已经完成。
第三阶段,HMSCore正在筹划HMS安全挑战赛,邀请全球应用开发者和安全研究人员对HMS产品展开渗透测试,竞争对手是全球开发者和安全研究人员。并设立百万奖金池,奖励比赛中发现的高价值漏洞,最高单个漏洞奖励42万。
总而言之,HMSCore在安全和测试方面从未停止脚步。随着HMSCore功能的不断更新和完善,HMS严格安全在未来全球市场的重要性不言而喻,经过更多的测试人员和开发投入,HMSCore的安全体系将更加完善!
有关更多详细信息,请参考:
华为开发者联盟官方网站://consumer/en/HMS
