找回密碼
 立即注冊

華為開發者大會HMS安全與隱私分論壇 打好信息安全的第一道防線

2020-9-11 20:31 來源: 科技快報網 科技快報

9月11日下午,華為開發者大會安全與隱私分論壇在松山湖順利舉行,其中,華為消費者業務云服務部資深安全技術專家劉德錢對HMS安全架構與數據保護做了詳細解析,不僅層層深入地介紹了HMS Core從開發者接入到服務處理的全流程安全機制,還列舉了典型HMS發放能力的安全與數據保護技術,讓人印象深刻。

華為HMS Core —— 面向全球開發者的移動核心服務

華為HMS Core全面開放軟硬件能力,覆蓋“1+8+N”,把華為“芯-端-云” 優質軟硬件能力開放給全球開發者,這有效降低了開發門檻和成本,使開發者可以更加高效地開發、靈活創新,為用戶提供精品應用內容、服務及體驗。劉德錢首先介紹道,HMS Core在這些應用與底層操作系統間起到了關鍵性的紐帶作用,也幫助應用獲得了更多的用戶、更高的活躍度和更高效的商業成功。

被“開放”的HMS Core,隱私與安全如何保障?——5大安全技術支柱

劉德錢介紹到,開發者接入HMS Core開放能力需要經過以下三步:開發者聯盟門戶的注冊 - 申請接入和獲取認證憑證 - 開發者集成HMS SDK(HMS軟件開發工作包)使用開放能力,HMS進行接入認證。

其中5大安全技術支柱保障:

  • 認證鑒權:用戶認證、接入認證、設備認證;

  • 數據安全與隱私保護:數據安全存儲、數據使用安全、數據傳輸安全、密鑰管理、隱私保護;

  • 內容保護:版權保護、數字水印、防盜鏈;

  • 應用安全:上架四重檢測、下載安裝保障、運行防護機制;

  • 業務風控:帳號風控、交易風控、內容風控、廣告防作弊;

從開發者接入HMS Core,到HMS App和三方App的最終應用,“HMS Core的5大安全技術成為隱私與安全的最有力防線!”

HMS Core接入認證

他指出,HMS Core接入認證時的安全保證有認證憑據、接入約束權限控制3種措施。開發者訪問HMS Core的開放能力時,需要先在開發者聯盟網站創建認證憑據,開發者應用通過攜帶的認證憑據訪問HMS開放能力。當前支持的憑據有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據使用安全隨機數生成,生成后在服務器使用AES-GCM加速算法進行加密后存儲,防止認證憑據泄露。

除了開發者層面上的保障措施,劉德錢補充道,在應用市場層面,HMS Core實行上架四重檢測、下載安裝保障、運行防護機制的保障機制。

幾種HMS Core典型開放能力的數據保護

帳號安全保障方面,Account kit為應用提供安全便捷的登錄能力,例如采用當下主流的FIDO免密身份認證登錄,確保賬戶數據等安全。除了集成FIDO Kit,華為帳號服務在登錄、重置密碼等環節都設置了主動風控監測機制來防止帳號盜用,并將操作異常等多種風險識別手段與專家規則、機器學習結合,用來識別虛假帳號、防止垃圾注冊。這樣,華為終端云風控平臺就可以做到快速精確地識別風險,從而保障用戶合法權益。

劉接著以基于PKI(公鑰基礎設施)的指紋及人臉支付,和交易支付時的活體檢測這一更加強有力的風控措施為例,介紹了IAP kit如何在應用中提供安全便捷的支付服務,在PKI體系下,線上支付更加安全。這些密鑰或證書被有效管理,從而為客戶建立起一個安全的網絡運行環境。

又例如生活中常見的推送服務,Push kit基于Push Token接入認證App,為不同設備里的各個應用都分配一個獨一無二的token,并對Push消息加密緩存、自動審核敏感信息,使得跨平臺的推送服務更精準可靠;傳輸安全方面,劉德錢介紹道,使用會話密鑰加密Push消息,輔以訂閱消息完整性保護措施,使得信息傳輸更安全!

不放過每個細節:全流程的安全隱私質量保證

劉德錢說,HMS Core的安全防護措施,從剛開始的需求分析、安全設計,到安全代碼的開發、安全測試都盡量做到抓準每一步、不放過每個細節。例如安全編碼方面,要求輸出針對HMS項目的安全開發指南,并輸出可以覆蓋到43個端云安全漏洞的防護沙盤,千錘百煉,提供優秀的安全編碼實踐;再比如安全測試方面,實施雙重防線,除了華為終端云服務部,還有ICSL(華為公司網絡安全實驗室)投入40+安全測試人員重重防守。

我們在行動:SilverNeedle銀針實驗室

最后,劉德錢介紹了HMS目前在實施的守護者計劃。面對外來藍軍攻擊,HMS自建藍軍,SilverNeedle Lab,專注于研究防范外來藍軍攻擊。前不久,SilverNeedle Lab 在松山湖舉辦攻防滲透主題沙龍,匯集了60位攻防經驗豐富的一線安全研究員,共同討論滲透工具、生物認證、OAuth2、HMS安全攻防等熱門議題。

除了自建藍軍,HMS還與業界知名安全公司NCC等公司合作,進行安全測試。目前第一階段HMS安全眾測已經完成邀請了騰訊、360、長亭科技、安恒等13家業界TOP團隊及60+獎勵計劃受邀高質量白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區域),針對HMS (包括HMS Core和HMS App等)進行安全滲透測試。

第二階段(2020年1月-8月),HMS Core正在進行歐洲專項測試,采購歐洲安全廠商NCC的專業服務對HMS Core進行專項在線滲透測試,本次覆蓋現網全部24個Kit,一階段共計11個Kit的滲透測試活動已經完成。

第三階段HMS Core正在規劃HMS安全挑戰賽,邀請全球應用開發者及安全研究員針對HMS產品發起滲透測試,大賽面向全球的開發者和安全研究員。并設置百萬獎金池,用于獎勵比賽中發現的高價值漏洞,最高單個漏洞獎勵42萬。

總而言之,HMS Core在安全保障與測試方面的腳步從未停止,隨著HMS Core功能不斷更新完善,未來全球化市場中HMS嚴密的安全保障工作重要性不言而喻,經過更多測試者和開發投入后的HMS Core安全體系必將更加完善!

欲了解更多詳情,請參閱:

華為開發者聯盟官網:https://developer.huawei.com/consumer/en/hms

獲取開發指導文檔:https://developer.huawei.com/consumer/en/doc/development

參與開發者討論請到Reddit社區:https://www.reddit.com/r/HMSCore/

下載demo和示例代碼請到Github:https://github.com/HMS-Core

解決集成問題請到Stack Overflow:

https://stackoverflow.com/questions/tagged/huawei-mobile-services?tab=Newest

  免責聲明:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。

  另,市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據,投資者若據此操作,風險自擔。

  投稿郵箱:[email protected]。詳情訪問科技快報網:http://www.7279702.live

編輯:科技快報網
微信公眾號
意見反饋 科技快報網微信公眾號
51vv 赚钱 宁夏十一选五走势图 河南快三遗漏和值推荐 微信 北京28 加拿大28 广东快乐十分预测软件哪个好 河南快赢481走势图最近30期 7星彩中几个号有奖 陕西11选5真准网 在线股票配资推荐瑞银网 福建11选五遗漏最长 福建11选5真准网