HMS怎麼給開發者保障應用安全?
先說個大夥兒應該都知道的背景:9月11日下午,華爲開發者大會安全與隱私分論壇在松山湖舉行了。
其中,華爲消費者業務雲服務安全技術專家,對HMS安全架構與數據保護做了解析。內容上總的來說就是,介紹了HMS Core從開發者接入到服務處理的全流程安全機制、列舉了典型HMS發放能力的安全與保護技術。
一、HMS Core的「開放」能力,對誰「開放」的?
先科普一下: HMS Core(華爲移動核心服務)是華爲移動服務(HMS,HUAWEI Mobile Services)助力開發者高效構建精品應用,是華爲爲其設備生態系統提供的一套應用程序和服務。開發者只需集成HMS SDK即可使用華爲的多個開放能力。(百度百科)
意思就是開發者可以通過接入HMS Core的開放能力,以低成本、低門檻地開發、更高效地創新精品應用內容、服務及體驗。
二、被「開放」的HMS Core,安全如何保障?
首先,HMS Core的「開放」給開發者,並不意味着每個開發者可以隨意用。一般需要經過三步:開發者聯盟門戶的註冊 - 申請接入和獲取認證憑證 - 開發者集成HMS SDK(HMS軟件開發工作包)使用開放能力,HMS進行接入認證。
其中5大安全技術,可以保障基於HMS Core開發的應用的安全:
Ø 認證鑑權:用戶認證、接入認證、設備認證;
Ø 數據安全與隱私保護:數據安全存儲、數據使用安全、數據傳輸安全、密鑰管理、隱私保護;
Ø 內容保護:版權保護、數字水印、防盜鏈;
Ø 應用安全:上架四重檢測、下載安裝保障、運行防護機制;
Ø 業務風控:帳號風控、交易風控、內容風控、廣告防作弊;
也就是說,從開發者接入HMS Core,到HMS App和三方App的最終應用,每一步都有一道密不透風的安全防線。
三、開發者接入HMS Core的「敲門磚」:認證憑據
HMS Core接入認證時的安全保證有認證憑據、接入約束和權限控制3種措施。開發者訪問HMS Core的開放能力時,需要先在開發者聯盟網站創建認證憑據,開發者應用通過攜帶的認證憑據訪問HMS開放能力。當前支持的憑據有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據使用安全隨機數生成,生成後在服務器使用AES-GCM加速算法進行加密後存儲,防止認證憑據泄露。
除了開發者層面上的保障措施,在應用市場層面,HMS Core實行上架四重檢測、下載安裝保障、運行防護機制的保障機制。
四、幾種印象比較深的HMS Core開放能力的數據保護
- 賬號總被盜、數據被泄露怎麼辦?
帳號安全保障方面,Account kit爲應用提供安全便捷的登錄能力,例如採用當下主流的FIDO免密身份認證登錄,確保賬戶數據等安全。除了集成FIDO Kit,華爲帳號服務在登錄、重置密碼等環節都設置了主動風控監測機制來防止帳號盜用,並將操作異常等多種風險識別手段與專家規則、機器學習結合,用來識別虛假帳號、防止垃圾註冊。這樣,華爲終端雲風控平臺就可以做到快速精確地識別風險。
- 指紋和人臉支付、活體檢測是怎麼保障安全的?
以基於PKI(公鑰基礎設施)的指紋及人臉支付,和交易支付時的活體檢測這一更加強有力的風控措施爲例,IAP kit可以在應用中提供安全便捷的支付服務,在PKI體系下,線上支付更加安全。這些密鑰或證書被有效管理,從而爲客戶建立起一個安全的網絡運行環境。
- Push裏一堆不感興趣的消息?
手機上Push推送服務很常見,Push kit基於Push Token接入認證App,爲不同設備裏的各個應用都分配一個獨一無二的token,並對Push消息加密緩存、自動審覈敏感信息,使得跨平臺的推送服務更精準可靠;傳輸安全方面,使用會話密鑰加密Push消息,輔以訂閱消息完整性保護措施,使得信息傳輸更安全!
五、不放過每個細節:全流程的安全隱私質量保證
HMS Core的安全防護措施,從剛開始的需求分析、安全設計,到安全代碼的開發、安全測試都儘量做到抓準每一步、不放過每個細節。例如安全編碼方面,要求輸出針對HMS項目的安全開發指南,並輸出可以覆蓋到43個端雲安全漏洞的防護沙盤,提供優秀的安全編碼實踐;再比如安全測試方面,實施雙重防線,除了華爲終端雲服務部,還有ICSL(華爲公司網絡安全實驗室)投入40+安全測試人員重重防守。
SilverNeedle銀針實驗室
面對外來藍軍攻擊,HMS自建藍軍,SilverNeedle Lab,專注於研究防範外來藍軍攻擊。前不久,SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍,彙集了60位攻防經驗豐富的一線安全研究員,共同討論滲透工具、生物認證、OAuth2、HMS安全攻防等熱門議題。
除了自建藍軍,HMS還與業界知名安全公司NCC等公司合作,進行安全測試。
目前第一階段HMS安全衆測已經完成邀請了騰訊、360、長亭科技、安恆等13家業界TOP團隊及60+獎勵計劃受邀高質量白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區域),針對HMS (包括HMS Core和HMS App等)進行安全滲透測試。
第二階段(2020年1月-8月),HMS Core正在進行歐洲專項測試,採購歐洲安全廠商NCC的專業服務對HMS Core進行專項在線滲透測試,本次覆蓋現網全部24個Kit,一階段共計11個Kit的滲透測試活動已經完成。
第三階段HMS Core正在規劃HMS安全挑戰賽,邀請全球應用開發者及安全研究員針對HMS產品發起滲透測試,大賽面向全球的開發者和安全研究員。並設置百萬獎金池,用於獎勵比賽中發現的高價值漏洞,最高單個漏洞獎勵42萬。
可以期待,經過更多測試者和開發投入後的HMS Core安全體系將更加完善。
欲瞭解更多詳情,請參閱:
華爲開發者聯盟官網:https://developer.huawei.com/consumer/cn/hms
獲取開發指導文檔:https://developer.huawei.com/consumer/cn/doc/development
參與開發者討論請到Reddit社區:https://www.reddit.com/r/HMSCore/
下載demo和示例代碼請到Github:https://github.com/HMS-Core
解決集成問題請到Stack Overflow:
https://stackoverflow.com/questions/tagged/huawei-mobile-services?tab=Newest
原文鏈接:https://developer.huawei.com/consumer/cn/forum/topicview?tid=0203356635592190793&fid=18 作者:晚上吃啥