先說個大夥兒應該都知道的背景：9月11日下午，華為開發者大會安全與隱私分論壇在松山湖舉行了。

其中，華為消費者業務雲服務安全技術專家，對HMS安全架構與資料保護做了解析。內容上總的來說就是，介紹了HMS Core從開發者接入到服務處理的全流程安全機制、列舉了典型HMS發放能力的安全與保護技術。

一、HMS Core的“開放”能力，對誰“開放”的？

先科普一下: HMS Core（華為移動核心服務）是華為移動服務（HMS，HUAWEI Mobile Services）助力開發者高效構建精品應用，是華為為其裝置生態系統提供的一套應用程式和服務。開發者只需整合HMS SDK即可使用華為的多個開放能力。（百度百科）

意思就是開發者可以通過接入HMS Core的開放能力，以低成本、低門檻地開發、更高效地創新精品應用內容、服務及體驗。

二、被“開放”的HMS Core，安全如何保障?

首先，HMS Core的“開放”給開發者，並不意味著每個開發者可以隨意用。一般需要經過三步：開發者聯盟門戶的註冊 - 申請接入和獲取認證憑證 - 開發者整合HMS SDK(HMS軟體開發工作包)使用開放能力，HMS進行接入認證。

其中5大安全技術，可以保障基於HMS Core開發的應用的安全：

  Ø 認證鑑權：使用者認證、接入認證、裝置認證;

  Ø 資料安全與隱私保護：資料安全儲存、資料使用安全、資料傳輸安全、金鑰管理、隱私保護;

  Ø 應用安全：上架四重檢測、下載安裝保障、執行防護機制;

  Ø 業務風控：帳號風控、交易風控、內容風控、廣告防作弊;

也就是說，從開發者接入HMS Core，到HMS App和三方App的最終應用，每一步都有一道密不透風的安全防線。

三、開發者接入HMS Core的“敲門磚”：認證憑據

HMS Core接入認證時的安全保證有認證憑據、接入約束和許可權控制3種措施。開發者訪問HMS Core的開放能力時，需要先在開發者聯盟網站建立認證憑據，開發者應用通過攜帶的認證憑據訪問HMS開放能力。當前支援的憑據有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據使用安全隨機數生成，生成後在伺服器使用AES-GCM加速演算法進行加密後儲存，防止認證憑據洩露。

除了開發者層面上的保障措施，在應用市場層面，HMS Core實行上架四重檢測、下載安裝保障、執行防護機制的保障機制。

四、幾種印象比較深的HMS Core開放能力的資料保護

賬號總被盜、資料被洩露怎麼辦？

帳號安全保障方面，Account kit為應用提供安全便捷的登入能力，例如採用當下主流的FIDO免密身份認證登入，確保賬戶資料等安全。除了整合FIDO Kit，華為帳號服務在登入、重置密碼等環節都設定了主動風控監測機制來防止帳號盜用，並將操作異常等多種風險識別手段與專家規則、機器學習結合，用來識別虛假帳號、防止垃圾註冊。這樣，華為終端雲風控平臺就可以做到快速精確地識別風險。

指紋和人臉支付、活體檢測是怎麼保障安全的？

以基於PKI(公鑰基礎設施)的指紋及人臉支付，和交易支付時的活體檢測這一更加強有力的風控措施為例，IAP kit可以在應用中提供安全便捷的支付服務，在PKI體系下，線上支付更加安全。這些金鑰或證書被有效管理，從而為客戶建立起一個安全的網路執行環境。

Push裡一堆不感興趣的訊息？

手機上Push推送服務很常見，Push kit基於Push Token接入認證App，為不同裝置裡的各個應用都分配一個獨一無二的token，並對Push訊息加密快取、自動稽核敏感資訊，使得跨平臺的推送服務更精準可靠;傳輸安全方面，使用會話金鑰加密Push訊息，輔以訂閱訊息完整性保護措施，使得資訊傳輸更安全!

五、不放過每個細節：全流程的安全隱私品質保證

HMS Core的安全防護措施，從剛開始的需求分析、安全設計，到安全程式碼的開發、安全測試都儘量做到抓準每一步、不放過每個細節。例如安全編碼方面，要求輸出針對HMS專案的安全開發指南，並輸出可以覆蓋到43個端雲安全漏洞的防護沙盤，提供優秀的安全編碼實踐;再比如安全測試方面，實施雙重防線，除了華為終端雲服務部，還有ICSL(華為公司網路安全實驗室)投入40+安全測試人員重重防守。

SilverNeedle銀針實驗室

面對外來藍軍攻擊，HMS自建藍軍，SilverNeedle Lab,專注於研究防範外來藍軍攻擊。前不久，SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍，彙集了60位攻防經驗豐富的一線安全研究員，共同討論滲透工具、生物認證、OAuth2、HMS安全攻防等熱門議題。除了自建藍軍，HMS還與業界知名安全公司NCC等公司合作，進行安全測試。

目前第一階段HMS安全眾測已經完成邀請了騰訊、360、長亭科技、安恆等13家業界TOP團隊及60+獎勵計劃受邀高品質白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區域)，針對HMS (包括HMS Core和HMS App等)進行安全滲透測試。

第二階段(2020年1月-8月)，HMS Core正在進行歐洲專項測試，採購歐洲安全廠商NCC的專業服務對HMS Core進行專項線上滲透測試，本次覆蓋現網全部24個Kit，一階段共計11個Kit的滲透測試活動已經完成。

第三階段HMS Core正在規劃HMS安全挑戰賽，邀請全球應用開發者及安全研究員針對HMS產品發起滲透測試，大賽面向全球的開發者和安全研究員。並設定百萬獎金池，用於獎勵比賽中發現的高價值漏洞，最高單個漏洞獎勵42萬。

可以期待，經過更多測試者和開發投入後的HMS Core安全體系將更加完善。

欲了解更多詳情，請參閱：

華為開發者聯盟官網：/file/2020/09/25/20200925115245_12.jpg Overflow：/file/2020/09/25/20200925115246_13.jpg