Core|华为开发者大会HMS安全与隐私分论坛 打好信息安全的第一道防线
_原题为 华为开发者大会HMS安全与隐私分论坛 打好信息安全的第一道防线
9月11日下午 , 华为开发者大会安全与隐私分论坛在松山湖顺利举行 , 其中 , 华为消费者业务云服务部资深安全技术专家刘德钱对HMS安全架构与数据保护做了详细解析 , 不仅层层深入地介绍了HMS Core从开发者接入到服务处理的全流程安全机制 , 还列举了典型HMS发放能力的安全与数据保护技术 , 让人印象深刻 。
文章图片
华为HMS Core —— 面向全球开发者的移动核心服务
华为HMS Core全面开放软硬件能力 , 覆盖“1+8+N” , 把华为“芯-端-云” 优质软硬件能力开放给全球开发者 , 这有效降低了开发门槛和成本 , 使开发者可以更加高效地开发、灵活创新 , 为用户提供精品应用内容、服务及体验 。 刘德钱首先介绍道 , HMS Core在这些应用与底层操作系统间起到了关键性的纽带作用 , 也帮助应用获得了更多的用户、更高的活跃度和更高效的商业成功 。
被“开放”的HMS Core , 隐私与安全如何保障?——5大安全技术支柱
刘德钱介绍到 , 开发者接入HMS Core开放能力需要经过以下三步:开发者联盟门户的注册 - 申请接入和获取认证凭证 - 开发者集成HMS SDK(HMS软件开发工作包)使用开放能力 , HMS进行接入认证 。
文章图片
其中5大安全技术支柱保障:
? 认证鉴权:用户认证、接入认证、设备认证;
? 数据安全与隐私保护:数据安全存储、数据使用安全、数据传输安全、密钥管理、隐私保护;
? 内容保护:版权保护、数字水印、防盗链;
? 应用安全:上架四重检测、下载安装保障、运行防护机制;
? 业务风控:帐号风控、交易风控、内容风控、广告防作弊;
从开发者接入HMS Core , 到HMS App和三方App的最终应用 , “HMS Core的5大安全技术成为隐私与安全的最有力防线!”
HMS Core接入认证
他指出 , HMS Core接入认证时的安全保证有认证凭据、接入约束和权限控制3种措施 。 开发者访问HMS Core的开放能力时 , 需要先在开发者联盟网站创建认证凭据 , 开发者应用通过携带的认证凭据访问HMS开放能力 。 当前支持的凭据有API Key、Oauth2.0 ClientID、Service Account Key 。 这些凭据使用安全随机数生成 , 生成后在服务器使用AES-GCM加速算法进行加密后存储 , 防止认证凭据泄露 。
除了开发者层面上的保障措施 , 刘德钱补充道 , 在应用市场层面 , HMS Core实行上架四重检测、下载安装保障、运行防护机制的保障机制 。
几种HMS Core典型开放能力的数据保护
帐号安全保障方面 , Account kit为应用提供安全便捷的登录能力 , 例如采用当下主流的FIDO免密身份认证登录 , 确保账户数据等安全 。 除了集成FIDO Kit , 华为帐号服务在登录、重置密码等环节都设置了主动风控监测机制来防止帐号盗用 , 并将操作异常等多种风险识别手段与专家规则、机器学习结合 , 用来识别虚假帐号、防止垃圾注册 。 这样 , 华为终端云风控平台就可以做到快速精确地识别风险 , 从而保障用户合法权益 。
文章图片
刘接着以基于PKI(公钥基础设施)的指纹及人脸支付 , 和交易支付时的活体检测这一更加强有力的风控措施为例 , 介绍了IAP kit如何在应用中提供安全便捷的支付服务 , 在PKI体系下 , 线上支付更加安全 。 这些密钥或证书被有效管理 , 从而为客户建立起一个安全的网络运行环境 。
文章图片
又例如生活中常见的推送服务 , Push kit基于Push Token接入认证App , 为不同设备里的各个应用都分配一个独一无二的token , 并对Push消息加密缓存、自动审核敏感信息 , 使得跨平台的推送服务更精准可靠;传输安全方面 , 刘德钱介绍道 , 使用会话密钥加密Push消息 , 辅以订阅消息完整性保护措施 , 使得信息传输更安全!
文章图片
不放过每个细节:全流程的安全隐私质量保证
刘德钱说 , HMS Core的安全防护措施 , 从刚开始的需求分析、安全设计 , 到安全代码的开发、安全测试都尽量做到抓准每一步、不放过每个细节 。 例如安全编码方面 , 要求输出针对HMS项目的安全开发指南 , 并输出可以覆盖到43个端云安全漏洞的防护沙盘 , 千锤百炼 , 提供优秀的安全编码实践;再比如安全测试方面 , 实施双重防线 , 除了华为终端云服务部 , 还有ICSL(华为公司网络安全实验室)投入40+安全测试人员重重防守 。
推荐阅读
- 华为|华为在法国设研发中心
- Mate|华为Mate 40来了,硬刚iPhone 12?买哪个?网友吵起来了
- 华为|央行突然出手,这项准备金率直接降为0!台积电供货华为获许可?回应来了!任正非重磅电邮曝光
- 华为|任正非最新电邮:面对美国做好两件事!未来华为要逐步由专家来当家,不是谁官大谁拍板…
- 华为|已获许可供应华为?台积电表示
- 家属|华为家属万里跨国寻夫记
- 华为|任正非谈面对美国要自强和开放,华为可做到综合优势世界第一
- 迪拜|华为家属万里跨国寻夫记
- Mate|重磅官宣!华为Mate40来了,硬刚iPhone12!该买哪一个?网友吵起来了
- 华为|任正非最新电邮!面对美国要做好这两件事,华为以后由专家当家