9月11日下午，華為開(kāi)發(fā)者大會(huì)安全與隱私分論壇在松山湖順利舉行，其中，華為消費(fèi)者業(yè)務(wù)云服務(wù)部資深安全技術(shù)專(zhuān)家劉德錢(qián)對(duì)HMS安全架構(gòu)與數(shù)據(jù)保護(hù)做了詳細(xì)解析，不僅層層深入地介紹了HMS Core從開(kāi)發(fā)者接入到服務(wù)處理的全流程安全機(jī)制，還列舉了典型HMS發(fā)放能力的安全與數(shù)據(jù)保護(hù)技術(shù)，讓人印象深刻。

　　華為HMS Core ——面向全球開(kāi)發(fā)者的移動(dòng)核心服務(wù)

華為HMS Core全面開(kāi)放軟硬件能力，覆蓋“1+8+N”，把華為“芯-端-云” 優(yōu)質(zhì)軟硬件能力開(kāi)放給全球開(kāi)發(fā)者，這有效降低了開(kāi)發(fā)門(mén)檻和成本，使開(kāi)發(fā)者可以更加高效地開(kāi)發(fā)、靈活創(chuàng)新，為用戶提供精品應(yīng)用內(nèi)容、服務(wù)及體驗(yàn)。劉德錢(qián)首先介紹道，HMS Core在這些應(yīng)用與底層操作系統(tǒng)間起到了關(guān)鍵性的紐帶作用，也幫助應(yīng)用獲得了更多的用戶、更高的活躍度和更高效的商業(yè)成功。

被“開(kāi)放”的HMS Core，隱私與安全如何保障?——5大安全技術(shù)支柱

劉德錢(qián)介紹到，開(kāi)發(fā)者接入HMS Core開(kāi)放能力需要經(jīng)過(guò)以下三步：開(kāi)發(fā)者聯(lián)盟門(mén)戶的注冊(cè) - 申請(qǐng)接入和獲取認(rèn)證憑證 - 開(kāi)發(fā)者集成HMS SDK(HMS軟件開(kāi)發(fā)工作包)使用開(kāi)放能力，HMS進(jìn)行接入認(rèn)證。

　　其中5大安全技術(shù)支柱保障：

認(rèn)證鑒權(quán)：用戶認(rèn)證、接入認(rèn)證、設(shè)備認(rèn)證;

數(shù)據(jù)安全與隱私保護(hù)：數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)使用安全、數(shù)據(jù)傳輸安全、密鑰管理、隱私保護(hù);

內(nèi)容保護(hù)：版權(quán)保護(hù)、數(shù)字水印、防盜鏈;

應(yīng)用安全：上架四重檢測(cè)、下載安裝保障、運(yùn)行防護(hù)機(jī)制;

業(yè)務(wù)風(fēng)控：帳號(hào)風(fēng)控、交易風(fēng)控、內(nèi)容風(fēng)控、廣告防作弊;

從開(kāi)發(fā)者接入HMS Core，到HMS App和三方App的最終應(yīng)用，“HMS Core的5大安全技術(shù)成為隱私與安全的最有力防線!”

HMS Core接入認(rèn)證

他指出，HMS Core接入認(rèn)證時(shí)的安全保證有認(rèn)證憑據(jù)、接入約束和權(quán)限控制3種措施。開(kāi)發(fā)者訪問(wèn)HMS Core的開(kāi)放能力時(shí)，需要先在開(kāi)發(fā)者聯(lián)盟網(wǎng)站創(chuàng)建認(rèn)證憑據(jù)，開(kāi)發(fā)者應(yīng)用通過(guò)攜帶的認(rèn)證憑據(jù)訪問(wèn)HMS開(kāi)放能力。當(dāng)前支持的憑據(jù)有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據(jù)使用安全隨機(jī)數(shù)生成，生成后在服務(wù)器使用AES-GCM加速算法進(jìn)行加密后存儲(chǔ)，防止認(rèn)證憑據(jù)泄露。

除了開(kāi)發(fā)者層面上的保障措施，劉德錢(qián)補(bǔ)充道，在應(yīng)用市場(chǎng)層面，HMS Core實(shí)行上架四重檢測(cè)、下載安裝保障、運(yùn)行防護(hù)機(jī)制的保障機(jī)制。

幾種HMS Core典型開(kāi)放能力的數(shù)據(jù)保護(hù)

帳號(hào)安全保障方面，Account kit為應(yīng)用提供安全便捷的登錄能力，例如采用當(dāng)下主流的FIDO免密身份認(rèn)證登錄，確保賬戶數(shù)據(jù)等安全。除了集成FIDO Kit，華為帳號(hào)服務(wù)在登錄、重置密碼等環(huán)節(jié)都設(shè)置了主動(dòng)風(fēng)控監(jiān)測(cè)機(jī)制來(lái)防止帳號(hào)盜用，并將操作異常等多種風(fēng)險(xiǎn)識(shí)別手段與專(zhuān)家規(guī)則、機(jī)器學(xué)習(xí)結(jié)合，用來(lái)識(shí)別虛假帳號(hào)、防止垃圾注冊(cè)。這樣，華為終端云風(fēng)控平臺(tái)就可以做到快速精確地識(shí)別風(fēng)險(xiǎn)，從而保障用戶合法權(quán)益。

劉接著以基于PKI(公鑰基礎(chǔ)設(shè)施)的指紋及人臉支付，和交易支付時(shí)的活體檢測(cè)這一更加強(qiáng)有力的風(fēng)控措施為例，介紹了IAP kit如何在應(yīng)用中提供安全便捷的支付服務(wù)，在PKI體系下，線上支付更加安全。這些密鑰或證書(shū)被有效管理，從而為客戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。

又例如生活中常見(jiàn)的推送服務(wù)，Push kit基于Push Token接入認(rèn)證App，為不同設(shè)備里的各個(gè)應(yīng)用都分配一個(gè)獨(dú)一無(wú)二的token，并對(duì)Push消息加密緩存、自動(dòng)審核敏感信息，使得跨平臺(tái)的推送服務(wù)更精準(zhǔn)可靠;傳輸安全方面，劉德錢(qián)介紹道，使用會(huì)話密鑰加密Push消息，輔以訂閱消息完整性保護(hù)措施，使得信息傳輸更安全!

不放過(guò)每個(gè)細(xì)節(jié)：全流程的安全隱私質(zhì)量保證

劉德錢(qián)說(shuō)，HMS Core的安全防護(hù)措施，從剛開(kāi)始的需求分析、安全設(shè)計(jì)，到安全代碼的開(kāi)發(fā)、安全測(cè)試都盡量做到抓準(zhǔn)每一步、不放過(guò)每個(gè)細(xì)節(jié)。例如安全編碼方面，要求輸出針對(duì)HMS項(xiàng)目的安全開(kāi)發(fā)指南，并輸出可以覆蓋到43個(gè)端云安全漏洞的防護(hù)沙盤(pán)，千錘百煉，提供優(yōu)秀的安全編碼實(shí)踐;再比如安全測(cè)試方面，實(shí)施雙重防線，除了華為終端云服務(wù)部，還有ICSL(華為公司網(wǎng)絡(luò)安全實(shí)驗(yàn)室)投入40+安全測(cè)試人員重重防守。

我們?cè)谛袆?dòng)：SilverNeedle銀針實(shí)驗(yàn)室

最后，劉德錢(qián)介紹了HMS目前在實(shí)施的守護(hù)者計(jì)劃。面對(duì)外來(lái)藍(lán)軍攻擊，HMS自建藍(lán)軍，SilverNeedle Lab,專(zhuān)注于研究防范外來(lái)藍(lán)軍攻擊。前不久，SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍，匯集了60位攻防經(jīng)驗(yàn)豐富的一線安全研究員，共同討論滲透工具、生物認(rèn)證、OAuth2、HMS安全攻防等熱門(mén)議題。

除了自建藍(lán)軍，HMS還與業(yè)界知名安全公司NCC等公司合作，進(jìn)行安全測(cè)試。目前第一階段HMS安全眾測(cè)已經(jīng)完成邀請(qǐng)了騰訊、360、長(zhǎng)亭科技、安恒等13家業(yè)界TOP團(tuán)隊(duì)及60+獎(jiǎng)勵(lì)計(jì)劃受邀高質(zhì)量白帽(覆蓋國(guó)內(nèi)、歐洲、新加坡、俄羅斯等區(qū)域)，針對(duì)HMS (包括HMS Core和HMS App等)進(jìn)行安全滲透測(cè)試。

第二階段(2020年1月-8月)，HMS Core正在進(jìn)行歐洲專(zhuān)項(xiàng)測(cè)試，采購(gòu)歐洲安全廠商N(yùn)CC的專(zhuān)業(yè)服務(wù)對(duì)HMS Core進(jìn)行專(zhuān)項(xiàng)在線滲透測(cè)試，本次覆蓋現(xiàn)網(wǎng)全部24個(gè)Kit，一階段共計(jì)11個(gè)Kit的滲透測(cè)試活動(dòng)已經(jīng)完成。

第三階段HMS Core正在規(guī)劃HMS安全挑戰(zhàn)賽，邀請(qǐng)全球應(yīng)用開(kāi)發(fā)者及安全研究員針對(duì)HMS產(chǎn)品發(fā)起滲透測(cè)試，大賽面向全球的開(kāi)發(fā)者和安全研究員。并設(shè)置百萬(wàn)獎(jiǎng)金池，用于獎(jiǎng)勵(lì)比賽中發(fā)現(xiàn)的高價(jià)值漏洞，最高單個(gè)漏洞獎(jiǎng)勵(lì)42萬(wàn)。

總而言之，HMS Core在安全保障與測(cè)試方面的腳步從未停止，隨著HMS Core功能不斷更新完善，未來(lái)全球化市場(chǎng)中HMS嚴(yán)密的安全保障工作重要性不言而喻，經(jīng)過(guò)更多測(cè)試者和開(kāi)發(fā)投入后的HMS Core安全體系必將更加完善!

暴雨天安全行車(chē)技巧隧道駕駛安全注意事項(xiàng)綜合安全科普系列高層建筑之風(fēng)險(xiǎn)汛期來(lái)了 地質(zhì)災(zāi)害咋防治?