先說個大夥兒應該都知道的背景:9月11日下午,華為開發者大會安全與隱私分論壇在松山湖舉行了。
其中,華為消費者業務雲服務安全技術專家,對HMS安全架構與資料保護做了解析。內容上總的來說就是,介紹了HMS Core從開發者接入到服務處理的全流程安全機制、列舉了典型HMS發放能力的安全與保護技術。
一、HMS Core的“開放”能力,對誰“開放”的?
先科普一下: HMS Core(華為移動核心服務)是華為移動服務(HMS,HUAWEI Mobile Services)助力開發者高效構建精品應用,是華為為其裝置生態系統提供的一套應用程式和服務。開發者只需整合HMS SDK即可使用華為的多個開放能力。(百度百科)
意思就是開發者可以通過接入HMS Core的開放能力,以低成本、低門檻地開發、更高效地創新精品應用內容、服務及體驗。
二、被“開放”的HMS Core,安全如何保障?
首先,HMS Core的“開放”給開發者,並不意味著每個開發者可以隨意用。一般需要經過三步:開發者聯盟門戶的註冊 - 申請接入和獲取認證憑證 - 開發者整合HMS SDK(HMS軟體開發工作包)使用開放能力,HMS進行接入認證。
其中5大安全技術,可以保障基於HMS Core開發的應用的安全:
Ø 認證鑑權:使用者認證、接入認證、裝置認證;
Ø 資料安全與隱私保護:資料安全儲存、資料使用安全、資料傳輸安全、金鑰管理、隱私保護;
Ø 應用安全:上架四重檢測、下載安裝保障、執行防護機制;
Ø 業務風控:帳號風控、交易風控、內容風控、廣告防作弊;
也就是說,從開發者接入HMS Core,到HMS App和三方App的最終應用,每一步都有一道密不透風的安全防線。
三、開發者接入HMS Core的“敲門磚”:認證憑據
HMS Core接入認證時的安全保證有認證憑據、接入約束和許可權控制3種措施。開發者訪問HMS Core的開放能力時,需要先在開發者聯盟網站建立認證憑據,開發者應用通過攜帶的認證憑據訪問HMS開放能力。當前支援的憑據有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據使用安全隨機數生成,生成後在伺服器使用AES-GCM加速演算法進行加密後儲存,防止認證憑據洩露。
除了開發者層面上的保障措施,在應用市場層面,HMS Core實行上架四重檢測、下載安裝保障、執行防護機制的保障機制。
四、幾種印象比較深的HMS Core開放能力的資料保護
賬號總被盜、資料被洩露怎麼辦?帳號安全保障方面,Account kit為應用提供安全便捷的登入能力,例如採用當下主流的FIDO免密身份認證登入,確保賬戶資料等安全。除了整合FIDO Kit,華為帳號服務在登入、重置密碼等環節都設定了主動風控監測機制來防止帳號盜用,並將操作異常等多種風險識別手段與專家規則、機器學習結合,用來識別虛假帳號、防止垃圾註冊。這樣,華為終端雲風控平臺就可以做到快速精確地識別風險。
指紋和人臉支付、活體檢測是怎麼保障安全的?以基於PKI(公鑰基礎設施)的指紋及人臉支付,和交易支付時的活體檢測這一更加強有力的風控措施為例,IAP kit可以在應用中提供安全便捷的支付服務,在PKI體系下,線上支付更加安全。這些金鑰或證書被有效管理,從而為客戶建立起一個安全的網路執行環境。
Push裡一堆不感興趣的訊息?手機上Push推送服務很常見,Push kit基於Push Token接入認證App,為不同裝置裡的各個應用都分配一個獨一無二的token,並對Push訊息加密快取、自動稽核敏感資訊,使得跨平臺的推送服務更精準可靠;傳輸安全方面,使用會話金鑰加密Push訊息,輔以訂閱訊息完整性保護措施,使得資訊傳輸更安全!
五、不放過每個細節:全流程的安全隱私品質保證
HMS Core的安全防護措施,從剛開始的需求分析、安全設計,到安全程式碼的開發、安全測試都儘量做到抓準每一步、不放過每個細節。例如安全編碼方面,要求輸出針對HMS專案的安全開發指南,並輸出可以覆蓋到43個端雲安全漏洞的防護沙盤,提供優秀的安全編碼實踐;再比如安全測試方面,實施雙重防線,除了華為終端雲服務部,還有ICSL(華為公司網路安全實驗室)投入40+安全測試人員重重防守。
SilverNeedle銀針實驗室
面對外來藍軍攻擊,HMS自建藍軍,SilverNeedle Lab,專注於研究防範外來藍軍攻擊。前不久,SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍,彙集了60位攻防經驗豐富的一線安全研究員,共同討論滲透工具、生物認證、OAuth2、HMS安全攻防等熱門議題。除了自建藍軍,HMS還與業界知名安全公司NCC等公司合作,進行安全測試。
目前第一階段HMS安全眾測已經完成邀請了騰訊、360、長亭科技、安恆等13家業界TOP團隊及60+獎勵計劃受邀高品質白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區域),針對HMS (包括HMS Core和HMS App等)進行安全滲透測試。
第二階段(2020年1月-8月),HMS Core正在進行歐洲專項測試,採購歐洲安全廠商NCC的專業服務對HMS Core進行專項線上滲透測試,本次覆蓋現網全部24個Kit,一階段共計11個Kit的滲透測試活動已經完成。
第三階段HMS Core正在規劃HMS安全挑戰賽,邀請全球應用開發者及安全研究員針對HMS產品發起滲透測試,大賽面向全球的開發者和安全研究員。並設定百萬獎金池,用於獎勵比賽中發現的高價值漏洞,最高單個漏洞獎勵42萬。
可以期待,經過更多測試者和開發投入後的HMS Core安全體系將更加完善。
欲了解更多詳情,請參閱:
華為開發者聯盟官網:/file/2020/09/25/20200925115245_12.jpg Overflow:/file/2020/09/25/20200925115246_13.jpg