首页 电商 正文

华为开发者大会HMS安全与隐私分论坛?打好信息安全的第一道防线

2024-03-21 22:00
admin

9月11日下午,华为开发者大会安全与隐私分论坛在松山湖顺利举行,其中,华为消费者业务云服务部资深安全技术专家刘德钱对HMS安全架构与数据保护做了详细解析,不仅层层深入地介绍了HMSCore从开发者接入到服务处理的全流程安全机制,还列举了典型HMS发放能力的安全与数据保护技术,让人印象深刻。

华为HMSCore——面向全球开发者的移动核心服务

华为HMSCore全面开放软硬件能力,覆盖“1+8+N”,把华为“芯-端-云”优质软硬件能力开放给全球开发者,这有效降低了开发门槛和成本,使开发者可以更加高效地开发、灵活创新,为用户提供精品应用内容、服务及体验。刘德钱首先介绍道,HMSCore在这些应用与底层操作系统间起到了关键性的纽带作用,也帮助应用获得了更多的用户、更高的活跃度和更高效的商业成功。

被“开放”的HMSCore,隐私与安全如何保障?——5大安全技术支柱

刘德钱介绍到,开发者接入HMSCore开放能力需要经过以下三步:开发者联盟门户的注册-申请接入和获取认证凭证-开发者集成HMSSDK(HMS软件开发工作包)使用开放能力,HMS进行接入认证。

其中5大安全技术支柱保障:

认证鉴权:用户认证、接入认证、设备认证;

数据安全与隐私保护:数据安全存储、数据使用安全、数据传输安全、密钥管理、隐私保护;

内容保护:版权保护、数字水印、防盗链;

应用安全:上架四重检测、下载安装保障、运行防护机制;

业务风控:帐号风控、交易风控、内容风控、广告防作弊;

从开发者接入HMSCore,到HMSApp和三方App的最终应用,“HMSCore的5大安全技术成为隐私与安全的最有力防线!”

HMSCore接入认证

他指出,HMSCore接入认证时的安全保证有认证凭据、接入约束和权限控制3种措施。开发者访问HMSCore的开放能力时,需要先在开发者联盟网站创建认证凭据,开发者应用通过携带的认证凭据访问HMS开放能力。当前支持的凭据有APIKey、Oauth2.0ClientID、ServiceAccountKey。这些凭据使用安全随机数生成,生成后在服务器使用AES-GCM加速算法进行加密后存储,防止认证凭据泄露。

除了开发者层面上的保障措施,刘德钱补充道,在应用市场层面,HMSCore实行上架四重检测、下载安装保障、运行防护机制的保障机制。

几种HMSCore典型开放能力的数据保护

帐号安全保障方面,Accountkit为应用提供安全便捷的登录能力,例如采用当下主流的FIDO免密身份认证登录,确保账户数据等安全。除了集成FIDOKit,华为帐号服务在登录、重置密码等环节都设置了主动风控监测机制来防止帐号盗用,并将操作异常等多种风险识别手段与专家规则、机器学习结合,用来识别虚假帐号、防止垃圾注册。这样,华为终端云风控平台就可以做到快速精确地识别风险,从而保障用户合法权益。

刘接着以基于PKI(公钥基础设施)的指纹及人脸支付,和交易支付时的活体检测这一更加强有力的风控措施为例,介绍了IAPkit如何在应用中提供安全便捷的支付服务,在PKI体系下,线上支付更加安全。这些密钥或证书被有效管理,从而为客户建立起一个安全的网络运行环境。

又例如生活中常见的推送服务,Pushkit基于PushToken接入认证App,为不同设备里的各个应用都分配一个独一无二的token,并对Push消息加密缓存、自动审核敏感信息,使得跨平台的推送服务更精准可靠;传输安全方面,刘德钱介绍道,使用会话密钥加密Push消息,辅以订阅消息完整性保护措施,使得信息传输更安全!

不放过每个细节:全流程的安全隐私质量保证

刘德钱说,HMSCore的安全防护措施,从刚开始的需求分析、安全设计,到安全代码的开发、安全测试都尽量做到抓准每一步、不放过每个细节。例如安全编码方面,要求输出针对HMS项目的安全开发指南,并输出可以覆盖到43个端云安全漏洞的防护沙盘,千锤百炼,提供优秀的安全编码实践;再比如安全测试方面,实施双重防线,除了华为终端云服务部,还有ICSL(华为公司网络安全实验室)投入40+安全测试人员重重防守。

我们在行动:SilverNeedle银针实验室

最后,刘德钱介绍了HMS目前在实施的守护者计划。面对外来蓝军攻击,HMS自建蓝军,SilverNeedleLab,专注于研究防范外来蓝军攻击。前不久,SilverNeedleLab在松山湖举办攻防渗透主题沙龙,汇集了60位攻防经验丰富的一线安全研究员,共同讨论渗透工具、生物认证、OAuth2、HMS安全攻防等热门议题。

除了自建蓝军,HMS还与业界知名安全公司NCC等公司合作,进行安全测试。目前第一阶段HMS安全众测已经完成邀请了腾讯、360、长亭科技、安恒等13家业界TOP团队及60+奖励计划受邀高质量白帽(覆盖国内、欧洲、新加坡、俄罗斯等区域),针对HMS(包括HMSCore和HMSApp等)进行安全渗透测试。

第二阶段(2020年1月-8月),HMSCore正在进行欧洲专项测试,采购欧洲安全厂商NCC的专业服务对HMSCore进行专项在线渗透测试,本次覆盖现网全部24个Kit,一阶段共计11个Kit的渗透测试活动已经完成。

第三阶段HMSCore正在规划HMS安全挑战赛,邀请全球应用开发者及安全研究员针对HMS产品发起渗透测试,大赛面向全球的开发者和安全研究员。并设置百万奖金池,用于奖励比赛中发现的高价值漏洞,最高单个漏洞奖励42万。

总而言之,HMSCore在安全保障与测试方面的脚步从未停止,随着HMSCore功能不断更新完善,未来全球化市场中HMS严密的安全保障工作重要性不言而喻,经过更多测试者和开发投入后的HMSCore安全体系必将更加完善!

相关文章

  • 买京东卡可以用券吗?安全吗?

    买京东卡可以用券吗?安全吗? 对于喜欢在京东购物的人来说,优惠券是一种常见的促销方式。但是,很多人想知道买京东卡是否可以使用优惠券。本文将深入探讨这个问题,并介绍买京东卡的安全性。感兴趣的朋友,不妨一起来看看。一、买京东卡可以用券吗?可以。可以。首先,我们需要了解京东的优惠券政策。京东经常推出各类优惠活动,其中包括满减券、折扣券等多种类型的优惠券。根据京东官方的规定,一般情况下,买京东卡是可以使用优惠券的。您只需在购买商品时,

    2024-03-13 17:43

  • 京东打击商品质量红线问题公告

    京东打击商品质量红线问题公告 京东坚决打击商品质量红线问题;根据《京东京东开放平台商品质量不合格细则》的相关规定,依据违规类型及违规情节,处置措施包括但不限于下架违规商品、限制经营、扣除违约金、清退店铺等,同时,京东有权通过法律手段对涉事店铺予以追责。,2、电器、燃气具产品,如果设计、生产不当或不符合国家标准,可能引发触电、火灾等危险。,3、包含有害化学物质的玩具、化妆品、家居用品和服装等。

    2024-03-13 17:42

  • 拼多多空包网安全吗?如何安全拼多多发空包?

    拼多多空包网安全吗?如何安全拼多多发空包? 其实拼多多空包也属于一种比较特殊的冷门手段!,2.有实在物流信息更安全 许多商家都开端研讨做实在的空包裹快递投寄了,这种操作没有漏洞,仅仅本钱和精力稍微多一些,但是能够进步安全作用。,”介绍到这里,如果有想要做拼多多空包的商家,建议好好找好空包平台帮忙去做,因为专业的比较安全可靠!

    2024-03-18 10:52

  • 拼多多补单平台哪个最安全?拼多多补单安全吗?

    拼多多补单平台哪个最安全?拼多多补单安全吗? 大家都知道,拼多多刷单是灰色性质的,是不被拼多多平台所允许去做的,因为这样有违背公平公正!,”这个问题,我能说的是:其实,你只要在百度搜索引擎上搜索“拼多多补单平台”就会出现很多的补单平台,但是质量好坏还是得靠拼多多商家你们自己去了解打听!,但是如果选择到了专业性质比较强的拼多多补单平台的话,做起来我不敢说最安全,相对自己做还是比较安全的!

    2024-03-18 10:52

  • 支付宝刷脸怎么关闭?如何取消支付宝刷脸功能?

    支付宝刷脸怎么关闭?如何取消支付宝刷脸功能? 一般咱们登录支付宝的时候能够使用支付宝刷脸登录方式,这样就不必再输入支付宝账号和密码,比较的办法,可是很多用户觉得支付宝刷脸不安全,支付宝刷脸怎样封闭呢? 支付宝刷脸怎样封闭? 首要通过支付宝刷脸翻开支付宝,然后在支付宝界面挑选我的,右上方有设置,点击设置 翻开设置,挑选“账户与安全” 在“账户与安全”里挑选“安全中心” 翻开“安全中心”,挑选“安全维护东西” 在“安全维护东西”里有刷脸手势等设置

    2024-03-14 16:15

  • 支付宝到位安全吗?

    支付宝到位安全吗? 双方在达成买卖之前如果需求交流,平台也提供了虚拟电话号码。,为保障线下服务安全,还将给买卖双方免费赠送一份最高额度10万元的意外保险。,关于在平台上发布的服务,体系后台也会做严格审阅。

    2024-03-14 16:13

  • 花桥利用微信平台宣传普法

    花桥利用微信平台宣传普法 为了将此项工作深入实际,工作人员利用下班休息时间上户,手把手地指导村民如何利用手机微信扫描二维码工作群”,并告知他们该平台的主要功能是:方便老百姓政策咨询、矛盾化解、信访诉求、法制宣传等。,近年来,村民们通过种植蔬菜、来料加工、开店经商等,极大提升了整体的人均收入。,富裕了的村民,舍得投入建设好新农村,促使自己家园不断靓丽起来。

    2024-03-22 20:58

  • 快手小店白酒商品品质鉴定质量标准_快手

    快手小店白酒商品品质鉴定质量标准_快手 提升白酒商户服务水平,保护交易双方权益,提供更加优质的平台服务及消费者体验,现新增《快手小店白酒商品品质鉴定质量标准》规则内容如下:标准正文:本标准按照GB/T1.1-2020给出的规则起草本标准由快手小店提出并归口本标准主要起草单位:成都快购科技有限公司、中轻食品检验认证有限公司本标准主要起草人:程劲松、李春扬、张晓磊、李跃松等本标准由成都快购科技有限公司负责解释本标准知识产权归成都快购科技有限

    2024-03-22 19:31

  • 拼多多入驻安全吗?入驻拼多多有什么好处?

    拼多多入驻安全吗?入驻拼多多有什么好处? 二、入驻拼多多有什么好处?1、拼团模式具有传播性,这也是在短短几年时间,用户数迅速达到数亿级的原因。,主打低价商品,只要价格有优势,报名活动后即可快速卖爆,不需要投入太多的推广及运营费用。,虽然交易额节节攀升,用户量翻了几番,但是卖家量还远远没到淘宝的那种地步。

    2024-03-22 19:31

  • 两个抖音号来回切换有影响吗?用户行为规范是什么?

    两个抖音号来回切换有影响吗?用户行为规范是什么? 用户行为规范是什么?应对使用“抖音”软件及相关服务的行为负责,除非法律允许或者经公司事先书面许可,使用“抖音”软件及相关服务不得具有下列行为:1、使用未经公司授权或许可的任何插件、外挂、系统或第三方工具对“抖音”软件及相关服务的正常运行进行干扰、破坏、修改或施加其他影响。,(5)未经允许进入公众计算机网络或者他人计算机系统并删除、修改、增加存储信息。,总而言之,两个抖音号来回切换的话会造成一定的影

    2024-03-22 17:52

热门标签