HMS怎麼給開發者保障應用安全？

先說個大夥兒應該都知道的背景：9月11日下午，華爲開發者大會安全與隱私分論壇在松山湖舉行了。

其中，華爲消費者業務雲服務安全技術專家，對HMS安全架構與數據保護作了解析。內容上總的來講就是，介紹了HMS Core從開發者接入到服務處理的全流程安全機制、列舉了典型HMS發放能力的安全與保護技術。

1、HMS Core的「開放」能力，對誰「開放」的？

先科普一下: HMS Core（華爲移動核心服務）是華爲移動服務（HMS，HUAWEI Mobile Services）助力開發者高效構建精品應用，是華爲爲其設備生態系統提供的一套應用程序和服務。開發者只需集成HMS SDK便可使用華爲的多個開放能力。（百度百科）

意思就是開發者能夠經過接入HMS Core的開放能力，以低成本、低門檻地開發、更高效地創新精品應用內容、服務及體驗。

2、被「開放」的HMS Core，安全如何保障?

首先，HMS Core的「開放」給開發者，並不意味着每一個開發者能夠隨意用。通常須要通過三步：開發者聯盟門戶的註冊 - 申請接入和獲取認證憑證 - 開發者集成HMS SDK(HMS軟件開發工做包)使用開放能力，HMS進行接入認證。

其中5大安全技術，能夠保障基於HMS Core開發的應用的安全：

  Ø 認證鑑權：用戶認證、接入認證、設備認證;

  Ø 數據安全與隱私保護：數據安全存儲、數據使用安全、數據傳輸安全、密鑰管理、隱私保護;

  Ø 內容保護：版權保護、數字水印、防盜鏈;

  Ø 應用安全：上架四重檢測、下載安裝保障、運行防禦機制;

  Ø 業務風控：賬號風控、交易風控、內容風控、廣告防做弊;

也就是說，從開發者接入HMS Core，到HMS App和三方App的最終應用，每一步都有一道密不透風的安全防線。

3、開發者接入HMS Core的「敲門磚」：認證憑據

HMS Core接入認證時的安全保證有認證憑據、接入約束和權限控制3種措施。開發者訪問HMS Core的開放能力時，須要先在開發者聯盟網站建立認證憑據，開發者應用經過攜帶的認證憑據訪問HMS開放能力。當前支持的憑據有API Key、Oauth2.0 ClientID、Service Account Key。這些憑據使用安全隨機數生成，生成後在服務器使用AES-GCM加速算法進行加密後存儲，防止認證憑據泄露。

除了開發者層面上的保障措施，在應用市場層面，HMS Core實行上架四重檢測、下載安裝保障、運行防禦機制的保障機制。

4、幾種印象比較深的HMS Core開放能力的數據保護

1. 帳號總被盜、數據被泄露怎麼辦？

賬號安全保障方面，Account kit爲應用提供安全便捷的登陸能力，例如採用當下主流的FIDO免密身份認證登陸，確保帳戶數據等安全。除了集成FIDO Kit，華爲賬號服務在登陸、重置密碼等環節都設置了主動風控監測機制來防止賬號盜用，並將操做異常等多種風險識別手段與專家規則、機器學習結合，用來識別虛假賬號、防止垃圾註冊。這樣，華爲終端雲風控平臺就能夠作到快速精確地識別風險。

2. 指紋和人臉支付、活體檢測是怎麼保障安全的？

以基於PKI(公鑰基礎設施)的指紋及人臉支付，和交易支付時的活體檢測這一更增強有力的風控措施爲例，IAP kit能夠在應用中提供安全便捷的支付服務，在PKI體系下，線上支付更加安全。這些密鑰或證書被有效管理，從而爲客戶創建起一個安全的網絡運行環境。

3. Push裏一堆不感興趣的消息？

手機上Push推送服務很常見，Push kit基於Push Token接入認證App，爲不一樣設備裏的各個應用都分配一個獨一無二的token，並對Push消息加密緩存、自動審覈敏感信息，使得跨平臺的推送服務更精準可靠;傳輸安全方面，使用會話密鑰加密Push消息，輔以訂閱消息完整性保護措施，使得信息傳輸更安全!

5、不放過每一個細節：全流程的安全隱私質量保證

HMS Core的安全防禦措施，從剛開始的需求分析、安全設計，到安全代碼的開發、安全測試都儘可能作到抓準每一步、不放過每一個細節。例如安全編碼方面，要求輸出針對HMS項目的安全開發指南，並輸出能夠覆蓋到43個端雲安全漏洞的防禦沙盤，提供優秀的安全編碼實踐;再好比安全測試方面，實施雙重防線，除了華爲終端雲服務部，還有ICSL(華爲公司網絡安全實驗室)投入40+安全測試人員重重防守。

SilverNeedle銀針實驗室

面對外來藍軍***，HMS自建藍軍，SilverNeedle Lab,專一於研究防範外來藍軍***。前不久，SilverNeedle Lab 在松山湖舉辦******主題沙龍，聚集了60位***經驗豐富的一線安全研究員，共同討論***工具、生物認證、OAuth二、HMS安全***等熱門議題。
除了自建藍軍，HMS還與業界知名安全公司NCC等公司合做，進行安全測試。

目前第一階段HMS安全衆測已經完成邀請了騰訊、360、長亭科技、安恆等13家業界TOP團隊及60+獎勵計劃受邀高質量白帽(覆蓋國內、歐洲、新加坡、俄羅斯等區域)，針對HMS (包括HMS Core和HMS App等)進行安全***測試。

第二階段(2020年1月-8月)，HMS Core正在進行歐洲專項測試，採購歐洲安全廠商NCC的專業服務對HMS Core進行專項在線***測試，本次覆蓋現網所有24個Kit，一階段共計11個Kit的***測試活動已經完成。

第三階段HMS Core正在規劃HMS安全挑戰賽，邀請全球應用開發者及安全研究員針對HMS產品發起***測試，大賽面向全球的開發者和安全研究員。並設置百萬獎金池，用於獎勵比賽中發現的高價值漏洞，最高單個漏洞獎勵42萬。

能夠期待，通過更多測試者和開發投入後的HMS Core安全體系將更加完善。

欲瞭解更多詳情，請參閱：

華爲開發者聯盟官網：https://developer.huawei.com/consumer/cn/hms
獲取開發指導文檔：https://developer.huawei.com/consumer/cn/doc/development
參與開發者討論請到Reddit社區：https://www.reddit.com/r/HMSCore/
下載demo和示例代碼請到Github：https://github.com/HMS-Core
解決集成問題請到Stack Overflow：
https://stackoverflow.com/questions/tagged/huawei-mobile-services?tab=Newest

---

原文連接：https://developer.huawei.com/consumer/cn/forum/topicview?tid=0203356635592190793&fid=18做者：晚上吃啥