1、 V1?0 O1 O2 O3 前?应?态安全模型 应?安全?临?与挑战 2)?取?户数据?3)强制推?广告?4)利?攻击其他应?序?10 10 5)?件?CONTENT 1)?导?户下?安?恶意应?11 O4 O5 O?应?态?安全?标 5)代?应?开发安全 1)开发?注册和实名?2)?开发?书?3)?应?Profile 文件?18 20 19 应?发布安全 1)应?检?与审核?2)应?加密?3)应?名?23 25 24 4)代?安全检查?17 21 2)基?安全?护?1)基?安全架构模型?3)应?权?4)?控制?应?命周期安全 O?展望 O?5)?户?份?6)应?数据保护?7)应?时安全检?
2、)应?为?控?)应?快?修复?29 31 33 35 38 39 44 45 46 2 前?Chapter 1 1 3?动互?技术?发展和?子?备?快?普及,各?应?序呈?发式增?,应?序已?到人们工作?各个方?,应?序?安全?也日?凸显?应?序?开发?提供,?多?径分发到?户手中?开发?拥有技术?和?,?够创建应?序,?户则依?于?些应?序来?己?求,同时,?户对应?序?内?和数据处?方式了?有?,导?他们在使?中容易受到应?为不受控?户?泄?困扰?信息不对?,导?应?开发?与?户之?存在?不平?关?态构建?作为?接应?开发?与?户?带,在其中?关?作?态构建?是指参与构建整个?动应?态?实
3、体,包括?备厂商?操作?和应?商店?他们为开发?提供开发?境?工具套件和市场?,同时也?护和改?态?定性和安全性?态构建?对于?动应?成功和推广?关?作?,同时?态构建?力于推动?户教?,增强?户?数字?和?我保护意?,使其?够更好地?己?数据和?本?书从?业应?安全?典型?分析入手,?出?应?态构建?安全?标,?步?介?了?态在应?全?命周期不同?段?安全?我们?力于建?个健康?可持?发展?动应?态?,把数字世?带入每个人?每个家庭?每个?,构建万?互?智?世?4?应?安全?型 Chapter 2 1 5 围?各式各样?应?序,?户?应?开发?和?构建?三个?共同?成了?个应?态?在?个?中
4、,三个?互依存?互影响?安全,是?个?态?个?属性,因为?旦其中任何?个?出?安全?,?可?会对整个?态?成严?影响?个安全?干净?应?态?,?以下三个?共同努力才?成:?户在应?态?中是最?使?,也是最?户?求和反?是应?开发?和?态构建?产品?代和优化?依据?户?体?和?意度?接影响?应?序?市场?和?态?健康发展?与此同时,?户在使?应?序时,也有?取?好?净体?保护个人?基本安全?求?应?开发?是应?态?中?核心?他们?开发应?序来?户?求,?不断地优化和改?己?产品,以?户?求和市场变化?同时,他们也?保其 6 应?序不会对?户?成任何安全威?包括?保应?序没有?没有植入恶意代?,并
5、且?够及时更新以修复任何安全?构建?是应?态?中?和推动?他们?建?态平台?提供技术支持和?整合?方式,为应?开发?和?户提供更好?服务和体?同时,他们?保整个?态?安全性,只有保?了安全,才?户和应?开发?放心地使?和开发应?序?先,?态构建?户?安全?求?户?安全?求包括个人信息?保护?支付安全?安全?态构建?在平台构建?应?安全机制,如加密技术?份?,开放?应?序使?,以保护?户?安全与?其次,?态构建?应?开发?安全?求?应?开发?保护?己?产权?代?安全?态构建?为应?开发?提供?应?安全保?,如应?加密?代?名?,以保护应?开发?权?最后,?态构建?整个?态?安全?态?中?每个应?
6、序?可?会影响整个?态?安全?态构建?对应?序?安全审查,?保应?序没有安全?和恶意?为,不会对整个?态?成安全威?当?态构建?不作为,或少作为时,就会产?列?应?安全?下?我们列举了?些典型?,并?出?态构建?临?挑战?7 -1)?导?户下?安?恶意应?-2)?取?户数据-3)强制推?广告-4)利?攻击其他应?序-5)?件 应?安全?临?与挑战 Chapter 3 1 8 从 PC普及?时代,就开始存在?毒应?泛?,?今无法根?PC?户在日常使?中,常常因为下?件或?,导?户?机感染?毒应?攻击?毒应?坏?机?可?性,?合其他?会工?学手段,?到?取利?最?动?备作为?户可?携带?个人?备,
7、?户每天使?时?更?,操作更?,也存储了更多?个人敏感信息,?成为攻击?标?恶意应?在?户不?情?情况下安?在?户?备上,并在后台?,执?恶意?为?些恶意?为可?包括?取?户?个人信息?户?动?强制推?广告?下?,我们对典型?应?作恶方式?分析:1)?导?户下?安?意应?为了?后?恶意?为做?垫,攻击?先?保恶意应?大?安?因此,攻击?会想方?法将其开发?恶意应?分发到?户?备上?情况下,开发?可以?官方应?分发平台,如?果?App Store,?歌?Google Play,华为?应?市场?应?分发?官方?应?分发平台作为应?序?户?关卡,其?在应?序上架时应做好审核?工作?,当?内?应?下?
8、安?不?制在官方?应?分发平台时,则?了攻击?可乘之机?攻击?会?各?手段,如?假广告?交媒体?恶意?接?,?导?户下?并安?应?些应?,应?参差不?,分发到?户?备上,会?步?恶意?为来影响?户?9 如何做好应?,控制应?分发?,?免恶意应?分发到?户?备上,是?态构建?临?个挑战?2)?取?户数据?户数据是企业和?信息来?,可以?于市场?客户服务?产品开发?方?攻击?可以?取?户数据来?得?利?,例如出售?市上?数据买家?份?攻击?可以利?户数据?勒?,例如勒?企业或个人支付?以?免数据泄?攻击?可以收?户?历史?位?信息?录?数据,?后将?些数据出售?广告商?为了?取?户数据,攻击?开发
9、?恶意应?在安?或?时,?求?户授予不必?权?,例如?人?信?机?克?,以便攻击?可以?户?个人信息?对于大多数应?序,在某些场景下?得?户数据有其必?性?态构建?不?接拒?应?序?得?些数据,但也不应?把是否提供数据?择权,完全交?户?开发?和?户之?天?信息不对?,开发?拥有更多?技术?和?,?普?户则?对?乏安全?和?攻击?作为?殊?开发?,会利?信息不对?,欺?户扩大授权?围?如何提供安全?数据授权机制,?免?户?度授权?成?安全威?,是?态构建?临?二个挑战?10 3)强制推?广告 广告收入是恶意应?序?主?收入来?恶意应?提供?分功?得?户?使?,?后?提供广告媒介来实?利?恶意应
10、?会?强制?户?广告?弹出广告?口?在应?序中插入广告?方式来?取广告收入,包括?假?机会?假?商品宣传?,不仅会影响?户?体?,?会对?户?成?损失?为了?到强制推?广告?,恶意应?先利?提供?些拉?保?机制提升?己?时?在存?态下则利?后台弹?机制来强制推?广告?户,并且?伪?关?复写?回?方式,?免?户关?广告?恶意?广告推?为,同时损害了多方利?,既影响?户正常使?备和应?,又?户对广告主产?抵?情?保?拉?后台弹?,是?提供?功?态构建?开放?些功?应?序使?初?,是为了?开发?可以?户提供更好?户体?,?些功?恶意应?使?后,反?户?成了很多困扰?应?应?序开放什么?功?,以及对于
11、?开放?功?如何做到不?意利?,是?态构建?临?三个挑战?4)利?攻击其他应?序?到?件?态?复杂性?互依?性和外?威?,在?实世?中,?件很?做到完全没有?件?态中各?应?序?操作?库文件?框架和其他?件?件,均?不同 11?开发团?开发和?护,?及数?万?更多?代?即使?件交付?中?严格?和审查,仍?可?存在未?察?在应?序?开发?中,人为?,?和?,?可?导?在?存在?攻击?出于?利?,会不断寻找?件弱?,?旦攻击?找到?,就会?步利?,?制?冲区?出?注入恶意代?方式,改变应?序原本?为,控制?序作恶?到攻击?从?户?度,?旦发?应?序中存在恶意?为,从?上只?得出应?序作恶?,无从?
12、晓恶意?为是出于应?序本意,?是?于应?序?攻击?些攻击既损害?户利?,又?应?开发?信?受损?如何帮助应?序最小?度地受到?影响,是?态构建?临?四个挑战?5)?件?件横?是?个广泛?期存在?技术?发展和互?普及,?件已?成为了全?围内?威?免?取付?件?惑以及?利?使,使得?件?大?传播和使?件主?是?仿冒应?序或?新打包应?序产?件带来了?多?影响?先,它侵?了?件开发?产权,剥夺了他们应有?利?和回报?不仅会?低?件开发?极性和创?力,也可?制了?件?业?发展和创新?12 其次,?件有?在?安全?件?常?改或注入恶意代?,?户?备和个人信息带来?在?威?户下?和使?些?件时很?得?其中
13、是否?恶意?序,从?对个人?和信息安全构成严?威?最后,?件也不利于合法?件市场?健康发展?免?件?低了?户对正?件?求,使得合法?件市场受到冲击?不仅影响了?件开发?和厂商?利?,也?制了?件?业?和创新?彻底?决?件?,?方?政府加强?产权保护力度,完善?关法律法?,加大对?件?打击力度,另?方?,也?件开发?和厂商加强技术保护手段,提?件安全性和?护?力?如何为应?序提供有效?心数字产权保护手?,?免出?件?,是?态构建?临?五个挑战?13 Chapter 4 1?应?安全?14 保护开发?和?户利?同时?护整体?安全性,对?态构建?是?关?以开发?为中心,构建?到?应?安全?力,保护应
14、?安全?时安全,保?开发?权?,是?应?态构建?核心?标?应?命周期主?分为开发?发布和?三个?段?态构建?为应对上?安全挑战,?在应?命周期?三个?段分别?出?决方案?为?到上?标,在应?开发?段,我们?保开发?份?合?,为开发?提供安全?开发工具,帮助开发?提?应?序?安全?在应?上架发布?段,我们应?保应?应?序应?权?最小化,数据使?公开?明,无不?内容,无?意?为?基本?求?同时也?保?开发?应?序安全可?不?改,开发?产权受到保护?15 在应?段,我们?先?保应?境安全,同时也?保应?为可?可控?对有恶意?为?应?,?建?分?控措施,根据应?为?严?度,按?求对应?权?或?力?应?
15、安?包?应?开发?不同?度?控方式?如上图所?,我们在应?全?命周期?不同?段,分别提供不同?关?技术和措施,来?决?态构建?大挑战?下文将对?些技术和措施分别展开介?16 Chapter 5 1 应?开发安全-1)开发?注册和实名?-2)?开发?书-3)?应?Profile 文件-4)代?安全检查-5)代?17 应?开发安全是指在开发?中嵌入安全?力,使应?序从?头上安全可?开发?是应?序?创作?,合法?开发?是创作出安全?可?应?前提条件;为了保?应?开发?份?实可信,我们?开发?书对应?名,保?应?来?可?和完整性不?坏;?发应?Profile,保?HarmonyOS 对应?关?属性和敏
16、感?力?有效?控;应?开发安全构建?中,?方?保?态中?应?不作恶,另?方?是为了增强应?安全性,?免应?攻击,?态构建?中?代?安全检查减少安全?,?代?合应?发布?段?应?代?加密,可以显?增加应?向?度,从?保?应?代?安全,保护开发?产权?本?态是在应?开发安全?构建?安全?力?1)开发?册和实名?在开发?应?之前,开发?先?在HarmonyOS应?开发官?完成注册并?实名?后,官?为开发?分?开发?ID,?于后?应?开发所?开发?书和应?文件,开发?开发?所有?应?会关?到对应?开发?ID,可以有效地对应?应?上架到?应?市场分发前,应?市场会对应?严格地审核,?保?应?安全和?旦在
17、审核时发?应?不?应?市场上架标准,会及时?应?开发?对应?整改或优化?18?上,?开发?注册和实名?,我们可以?保?应?来?是可信?2)?开发?书?应?开发?在拥有开发?ID 后,可以?开发?书,?于后?对其开发?应?名?应?名是?应?必?包含?内容,?于校?应?完整性和来?可?,只有?名校?,才?在应?市场发布,以及在 HarmonyOS 上安?应?开发?书?从 X.509 公?书标准,?书中包含开发?公?以及?于校?书?信息;在应?上架和安?时,?会基于HarmonyOS信任根?书对?应?开发?书?校?,校?成功后再使?开发?书中?开发?公?校?应?安?包?完整性?开发?书中?开发?公?
18、,?开发?成并提交?HarmonyOS应?开发官?;开发?公?对应?开发?保?,开发?保?安全,严格?权?,?免?泄?损坏?情况出?应?开发?书分为两?:?书和发布?书,分别?于?应?段和上架发布?段(开发?书?官?)?书:?书仅允?对?应?名,不?于其他?为了平?安全性和开发效?,使?书?名?应?可以不?上架检?,?接?在HarmonyOS?备上,?制条件是:?应?只允?在指定?备上(?备?备ID?与应?Profile中?备ID匹?),以?制其?备?围?19?发布?书:发布?书?于正式上架应?名?只有使?发布?书?名?应?才允?上架应?市场?使?发布?书?发?应?不对?备?ID?制,但必?应
19、?市场检?上架后,才?分发到?户?备上?应?市场会对?检?上架应?应?市场?名?上,?应?是?开发?书?名?应?,在应?上架和安?时会对应?名?强制校?,?保安?在HarmonyOS?备上?应?安?包?是未?改和来?可信?;并且可以?开发?书关?到?实名?开发?3)?应?Profile 文件(HarmonyAppProvision)开发?实名?取开发?ID,以及?开发?书之后,?待开发应?Profile 授权文件?应?Profile 授权文件是应?份?明文件,?于 HarmonyOS 对应?别和?,?文件中包含应?关?信息,包括应?包名?应?受?权?(仅少数场景才?)?应?开发?ID?应?开发
20、?书?应?Profile 授权文件?在开发?并审核后?发,?文件使?ECC 密?名,?名?合 PKCS#7 标准?应?Profile 授权文件是应?必不可少?成?分,?打包到应?安?包中,在应?上架审核和安?时?校?应?Profile 授权文件按?分为?Profile 和发布 Profile(应?发布 Profile?官?)?应?Profile,仅?于应?场景,不?于应?上架?开发?使?开发?书和应?Profile本地?应?;?应?可以?接?在开发?本地 20?备上,无?上架审核?于未?上架审核?应?是未?,因此为了保护?户权?,HarmonyOS强制?求?Profile中必?包含本地?备ID
21、列?和授权权?列?,?应?只?在列?中?备上,每个?Profile包含?备ID有最大数?制?了对?备?制,少数场景?受?权?(如?写?人),也?在应?Profile中?应?发布Profile,?于正式应?发布上架到应?市场,不?于应?本地?开发?使?开发?发布?书和应?发布Profile?应?后,提交到应?市场,应?市场会审核应?整体安全性和授权权?使?合?性,?上架审核后才允?上架应?市场?开发?审?应?市场上架审核?,?免?于审核不?导?应?序?复开发?4)代?安全?查?态服务于开发?,帮助开发?开发?应?,有效提?代?,减少代?中?在安全?在 DevEco Studio 中?成检?力,可
22、以帮助开发人员及时发?代?中?,?免在后期发?,也可以提?代?可?护性和可?性?DevEco Studio 提供了 code linter 功?,对代?性检?,同时也会?对代?安全性做检查,包括?态代?分析,二?制安全分析?,?态代?分析可以在开发?中发?,开发?可根据扫描?果中告?提?手工修复代?(?代?检查?则?)?21 开发?完成?构建后,可?DevEco Studio 安全检?插件对二?制?安全检查,?检?应?攻击?控不?权?或?书?不当?可?会导?安全?,建?开发?在发布应?之前完成?关安全检查动作,并基于?估?修改,其中主?安全?及?来?于攻击?分析(?应?安全?)?5)代?动应?
23、代?安全?常?,为了保护应?开发?代?,?免应?恶意?向分析,提?攻击?分析代?度,DevEco Studio 中?提供了代?力,?后?JS?TS?ArkTS 代?,不容易?向后?懂,?功?支持对名?,包括对?方法?做?处?代?方案是基于?,将?为抽?法树(AST),在 AST 上?作?域分析和?号分析,?名?和属性,?开发期?日志打印代?,合并?句,压?代?体?,?成 sourcemap 文件?于?后应?,?成 namecache 文件?于?更新修复,在保?时性?无变化?前提下,有效保护?开发?核心?产权免受恶意?向分析?22?个人?备数?来?多,?多个?备?交 Chapter 6 应?发布
24、安全-1)应?检?与审核-2)应?加密-3)应?名 23 为了?保?入?态中?应?是安全可?,在应?上架发布?段,我们?先对应?检?与审核,?保应?序?权?最小化,数据使?公开?明,无不?内容,无恶意?为?基本?求,同时我们也提供了应?加密?应?名?功?,保护开发?应?序完整性和机密性,保护开发?产权?1)应?与审?为了?保?态中?应?是?净?安全?合?,在应?上架前,会基于?业?求?应?市场安全?求?应?提供?安全?声明,?态检?动态检?人工检?多?检?手段,对应?全?检?,包括不?于权?检?应?为检?毒检?检?,对于不合?应?,开发?完成合?整改,具体?求?应?市场审核指南?权?应?权?检
25、?是指?技术手段分析应?所?权?列?合?性和必?性,同时权?检?会?估应?序是否存在?度?求权?权?权?影响?户正常使?为,?权?检?可以?开发?发?权?,保护?户?个人信息?应?为?应?为检?主?是?于发?恶意?为?安全技术,?应?序?接口?文件?为来?别不?件或应?序?为了?户提供安全可?使?境,应?不得含有?图?或不当使?任何?机制?功?以及干扰其他应?24 或影响?备功?恶意?为,影响?户?正常操作和体?包含但不?于借助?机制?恶意保?拉?恶意弹?屏?异常后台?为?恶意?匿?为?检?是指在应?上架前,检?应?序在?中,是否收?了?多?个人信息?例如,某些?交媒体应?序可?会?求使?提供
26、太多?个人信息,?可?会导?使?个人信息泄?,应?不应?出?收?个人信息?围收?个人信息?使?个人信息?合?意应?应?及其内?件不得含有?毒?木?,包括但不?于?可?代?文件及?序?形式对?成危害影响或侵害?户权?态将与业?安全厂商?合作,对应?中?可?代?段?文件或?三方库,与业?安全厂商?毒库?对比,检查应?序是否包含?毒?2)应?加密 为了保护应?代?安全,保护开发?核心?产,HarmonyOS 提供了?到?应?代?保护机制,?机制以?安全为基?,构建内核?应?命周期内?代?安全保护?力?25 开发?向应?市场提交上架?,再?应?市场审核后,应?市场会对上架应?做代?加密,应?在?备上安
27、?时,安?文件?后仍是处于加密?态,有效?保护应?序;当应?序启动时,?内核加?应?文件是加密?态,因此?些文件会在内核中按?密,?后提取文件明文在内存中执?应?加密?标准AES加密?法,?密后?明文只存在于内存中,不会存储到?备,形成?到?加密方案,有效?保?应?序?安全性?3)应?名 应?包?名 开发?使?发布?书和发布 Profile 对应?安?包?名后,上架应?市场?应?市场会对上架应?上架检?和?审核,对于?上架?求?应?,应?市场会对应?安?包?名;只有?名?上架应?,才允?在?备上安?HarmonyOS 对所有安?应?名校?,?保应?来?可信和应?完整性;应?安?包?名校?发?在
28、应?安?时,如果?名校?失?,则?止应?安?HarmonyOS 使?根 CA 对应?安?包?名校?,应?安?包?名?书?从根 CA 开始?书?方式?26 对于?应?安?,HarmonyOS 在校?安?包?名基?上,?严格匹?应?Profile 中?备 ID 与当前?备 ID?匹?,如果不匹?止安?对于发布应?安?,HarmonyOS 仅允?应?市场审核?后,?应?市场?名?安?包?安?应?代?名 应?包?名可以为应?提供分发和安?时?合法性校?和完整性保护,但是恶意?件常在应?安?后,?有?更新机制,在?时下?恶意代?,从?应?市场?安全审查?为?护?应?态?净与?户体?,HarmonyOS
29、引入强制代?名机制,提供加?时和?时?代?合法性检查以及完整性保护,?保?侧执?代?来?可?,未?审核?代?无法执?开发?上架?应?在?应?市场?安全合?审核后,?应?市场?名,企业应?和开发?应?则使?华为?发?书做代?名?HarmonyOS?实施强制代?名检?,在应?代?加?前,强制检查其?名合法性,?止应?执?未?审核?包含恶意?为?代?;在应?代?执?前,按?做哈希校?,?其内容?完整性,?保代?在存储时未?改;在代?中,提供基于污?标?机制,?止代?在?时?改?为尽?免恶意代?安全威?,实?态?安全与?净,?到提?户体?,?对?应?方?字?和二?制机器?提出以下安全原则:1)?止应?
30、执?未包含合法?名?代?,包括但不仅?于应?本?丁?插件以及共享库?代?;27 2)?止应?修改已?名?代?内容,实?与提交?应?市场宣传不?功?性;3)?止应?代?名?控?在?持上?安全原则?情况下,为?应?对动态代?更新?求,HarmonyOS 提供安全?受?境,允?应?在其中执?未?名代?受?执?境?未?名代?并?制其?力,?保未?名代?在安全?控之内,不会对?成威?对于应?执?代?,?止?于?应?市场审核,实?与宣传不?功?性,改变应?主?28 Chapter 7 应?命周期安全-1)基?安全架构模型-2)基?安全?护-3)应?权?控-4)?控制?-5)?户?份?-6)应?数据保护-7
31、)应?时安全检?-8)应?为?控-9)应?快?修复 29 应?命周期安全,包括在应?安?启动?以及更新?段提供安全?决方案,保?应?安全性和可?性?HarmonyOS 在提供基?安全机制,保护应?安全?同时,?安全?力为应?提供?户数据保护?安全手段?在保护?户?上,HarmonyOS?了提供基于权?控?保护机制外,更推?开发?使?Picker?安全控件?权?度?控手段,从根本上?决权?同时,我们也构建了?为感?与?控功?,具备快?别对?功?或?户体?有严?影响?恶意?为?力,HarmonyOS 会?时主动?制或撤?恶意应?关功?1)基?安全架构?型 HarmonyOS 构建基于?型?分?安全
32、机制,是构建?命周期安全?基?HarmonyOS 将应?分为三个 APL(Ability Privilege Level):normal,system basic 和system core?应?各?在?沙?化?境中,?仅允?文件,如?其他应?或?信息,则?权?来实?30 不同 APL?可?权?围也不?样,对应?则可以总?为如下?格:APL?明 system_core?应?提供操作?核心?力?应?可?权?及到开放操作?核心?操作,?于?型权?对?影响?度?常大,?前只向?服务开放?system_basic?应?提供?基?服务?应?可?权?,?及允?操作?基?服务?关?normal 普?应?和所有
33、三方应?应?可?权?,对?户?以及其他应?带来?很小?31 权?控是 HarmonyOS 提供?众多安全机制中?个例子?作为?态构建?,HarmonyOS 提供了应?命周期?到?安全?决方案,为开发?提供放心?应?开发和?境,为?户提供安全?应?和?备使?体?同时,我们也实施了?列?措施,以?保最大?度地减少恶意应?对?应?态?威?2)基?安全?护 应?序?基?安全?护是?保?安全?定?以及?户数据安全?元?应?序?户带来了巨大?便利,其?和实?正?合?关?,否则可?坏?完整?定,?影响?户数据?安全?HarmonyOS 为应?序提供了多层次?安全?护机制,来?保其不?恶意?件所?改和?取信息
34、?上?保护机制?保应?序?户数据?是安全可控?在上?安全机制?加持下,?户可放心地使?应?序,?无?担心恶意?件?授权?数据?与?控制 HarmonyOS 上?应?序均?在受保护?沙?中,?沙?安全?,?制应?序?互?法?数据,?改?备?每?个应?序拥有唯?ID,并基于此ID?别与?制?应?沙?定了只有?标受众才?应?内?数据,同时也?定了应?只?受?数据?围,包括:?应?序?安?录?应?沙?数据?录?32?应?沙?分布式数据?录?录下存放?文件?够?内其他?备上?同应?应?保?放?在?录下?子?录和文件与其他?备上存储?不冲?为?保应?数据安全,应?有数据不应?为可供所有人?如?将文件数据提
35、供?其他应?,可?择应?文件分享?常情况下应?无法?户公共文件数据,如?可?户公共存储?权?HarmonyOS根据应?APL?域和数据域标?,并?强制?控制机制?制应?可?数据?围,从?在机制上?减应?数据泄?利?是威?和应?安全?核心?为?对应?安全?威?,HarmonyOS构建了应?全?命周期?治?体?在应?序开发?段,开发?可利?DevEco Studio提供?代?安全检?工具,?别?发?并修复代?中存在?,如整数?出检?数?检查?使?已?放内存?典型?代?在?段,HarmonyOS 提供了?序?时抑制?利?,并?减?利?危害?安全加固机制,可有效保护应?序和?户数据?主?有如下安全机制
36、:?栈保护?栈?出是?典?攻击方法,攻击?基于栈?出?可?持?序控制?,?实?攻击?利?栈?性?出?征,栈保护机制?在栈?定位?插入canary保护字,?止栈?出时?法?函数?回地址,从?免应?序控制?法 33?持?ASLR(地址?机化)主?对内存?坏?可?保应?序?内存区域在启动时?机化,包括堆?栈?共享库?,增加攻击?攻击?标?度?如?对return to libc?攻击技巧,?机化可大幅增加攻击?定位库函数地址?度?DEP(数据不可执?)?同时具备可写可执?性?内存是攻击?执?恶意代?最佳条件,利?处?器?XN(不可执?)?性,可将内存?标注为不可执?属性,从?免攻击?在应?序中?接注入
37、恶意代?值得注意?是,HarmonyOS原则上仅在几个安全受控?场景可同时?予内存写和执?权?CFI(控制?完整性保护)?为应对攻击?常?JOP/ROP?攻击方法,HarmonyOS同时为应?序提供了前向和后向CFI保护技术,?于对抗攻击?利?内存?法?改应?序?函数?回地址和函数指?CFI技术可在攻击?径?关?有效拦截,?到极佳?效果?3)应?权?控 HarmonyOS 以洋?模型为基?,提供了?允?应?(例如,?录?)和使?力(例如,?摄像头?克?)?权?方式?为了?止应?度?取和?权?,HarmonyOS 基于应?APL?,?不同?权?开放?围?不同?别?权?对应?开放?围不同?例如,n
38、ormal 权?对所有应?开放,但如果三方应?使?system_basic 权?和 system_core 权?,则必?向应?市场?HarmonyAppProvision 授权?书?方式,来?使?权?34 合?使?场景有助于应?权?和使?开发应?时权?如下?求:?应?(包括应?引?三方库)所?权?必?在应?文件中严格按?权?开发指导?个声明?权?最小化原则,?止?不必?已废弃?权?应?多权?,会引?户对应?安全性?担?以及使?体?变差,从?也会影响到应?安?和?存?应?敏感权?时,必?填写权?使?字段,敏感权?常是指?户?密切?关?权?,包括地?位?机?克?日历?健?动?体传感器?乐?文件?图
39、?权?应?敏感权?在对应业务功?执?前动态?,?最小化?求?户拒?授予某个权?后,应?与此权?无关?其他业务功?应?正常使?应?时 HarmonyOS?TokenID(Token identity)来唯?标?应?TokenID作为?应?标?,?于任意?个内核?应?标?,有助于构建?内核异构?态?权?服务?应?TokenID 来?应?AT(Access Token)信息,包括应?份标?APP ID?子?户 ID?应?分?引信息?应?APL(Ability Privilege Level)?应?权?授权?态?信息?在?使?时?TokenID 作为唯?份标?映射?取对应?序?权?授权?态信息,并依此
40、?权,?控?序?为?35 4)?控制?原则?态始?将?户?放在?位?是?户?基本权利,安全是产品?基本属性?基于?念,?基本原则包括:?数据最小化:坚持仅?实?业务功?所必?个人数据,以服务于应?求?明可控:当?个人数据时,?晰?明?地告?户,并?保?户?数据?如何使?,以及如何?出?份保护:使?增强技术,在数据?开?户?备时,?户?份?数据本地化:坚持尽可?在?户?备上完成个人数据?处?和分析?数据安全保?:坚实?数据安全是?保护?基?,围?件?OS?应?及服务持?构建数据安全?力?权?HarmonyOS 提供?明可控机制帮助?户对应?为可?可控,?些机制?于应?整个?期?,包括敏感数据或?
41、力?前?中和?后各个?段?权?授权(?前):应?敏感数据或?力前?应?权?,当应?权?时,开发?必?填写权?使?字段,以便帮助?户?应?此 36 权?合?性并作出正?择;?指?器(?中):敏感数据或?力(例如,?克?)?应?持?时,?态栏显?实时提?户,便于?户感?应?为;?权?使?录(?后):HarmonyOS支持?户查?应?敏感数据或?力?历史?录,便于?户完整地审?应?为?当某个应?时?未?户使?或?应?存在?为时,HarmonyOS将对?应?权?动回收,保护?户?了?权?方式?数据或?力,HarmonyOS?提供无权?方式,包括安全控件和picker机制?安全控件?权?户手动授权,?对
42、于?些普?户来?可?比?困?,另外,应?序对某些敏感信息使?可?在不同?使?场景,?户使?应?中,?含?对于权?授予意愿,安全控件是?提供?实?ArkUI 基?件?应?可以?成?件,当?件?户?击后,应?将?授予临时授权,无?向?户弹?授权就可?受?,实?别?户主动?为?动授权?思?整体方案?安全控件 UI?件?安全控件?服务?安全控件增强?成:?UI?件实?了固定文字图标?样式便于?户?别,同时提供了?对丰富?定制化?力便于开发?定制?控件?服务提供控件注册?力?控件临时授权机制?授权?效周 37 期,?保应?后台?屏下无法注册使?安全控件?安全增强?分实?了包括地址?机化?挑战值检查?回?
43、UI框架复核控件信息?地址检查?件?实?击事件校?机制,?止应?开发?改?仿冒?方式?授权机制,泄?户?Picker Picker 是?提供?实?数据?择接口,不同于安全控件,开发?不?成 picker 到应?中?应?可以?接?Picker 接口?借助?Picker,应?无?权?就可以权?允?围内?敏感数据?应?拉?picker?,允?户在?定义?数据?合中?择允?围,?户?择后应?便可以?取数据?前,HarmonyOS 提供了六?picker:?picker?文件picker?picker?机picker?人picker?picker 38 5)?户?份?户?份?与?控制子?(User Id
44、entity and Access Management,?户IAM)提供了?户?份?别与?力?提供?户?份?API,可以帮助开发?快?实?安全可?户?份?,并在?中保护?户?敏感信息和?征数据,?止?户数据泄?户?份?框架提供了丰富?户?份?功?:包括不同?户?份?方式,如口令?人?指?,以及?应?户?,可?于?屏?支付?服务?二次?控制?户?份?别场景?户?份?API?应?,在?后可?取在安全?境中?发?户?份?凭?(authToken),?凭?可以提供?其他?服务?于?明?户?份,?服务校?凭?有效性后,可以响应?求执?些?户?权?操作,或是允?上?户个人数据?39?户 IAM 子?主?
45、户?份?框架?份?控件,以及口令?指?人?各?因子?执?器?成?其中?户?份?框架是核心,?和?度各个?执?器和?控件,为上层应?提供多样?户?份?功?和?份?体?框架支持各?执?器弹性接入,使得各?户?份?力可以根据?备?件支持情况按?户?份?框架和各个?执?器在?备本地?安全?境中?护?户注册?份?凭据信息?些数据从?成?使?到?毁,整个?命周期?不会?开?安全?境,也不会在?中提供?上其他任何服务或应?,更不会在无?户授权?情况下传?到其他?备?6)应?数据保护 数据?命周期保护?HarmonyOS 为?户和开发?数据,提供了全?命周期?安全?护措施,?保在每?个?段,数据?得与其个人数
46、据敏感?度?数据?度和应?序数据?产价值匹?保护措施?根据数据在智?备上?处?,数据?命周期包括?成(Create)?存储(at Rest)?使?(in Use)?传?(in Transit)?毁(Destroy)?几个?段:?成:智?和其上?应?件?接?成?从其它?接收或其它方式?入?方式产?数据?40?存储:数据在智?备上存?使?:数据在智?备上?处?传?:数据?开?备?到?备?毁:数据在智?备上?毁,保?其不可?检?对数据 at Rest 保护,HarmonyOS 提供文件?加密与敏感数据加密存储机制?应?开发?可利?机制保护不同?文件或应?内敏感数据?对数据 in Use 保护,?常与
47、?控制机制关?,HarmonyOS 提供?密?机制,应?开发?可将数据?控制归?为密?控制条件,HarmonyOS 密?机制将根据?定?控制条件?控密?使?,使密?仅在?对应条件时可?于?密应?数据或对应?数据?名?对数据 in Transit 保护,HarmonyOS 原?可信?机制可保护?分布式?性?数据?加密?如应?开发?想?步?控应?数据在传?出?后权?依?可控?同时?制数据?二次?发?为,可利?HarmonyOS提供?文件受控分享机制对待分享?数据?保护?文件?加密 FBE(File-based encryption)文件?加密?在启?了 FBE?备上,每个?户?有两个可供使?存储?
48、,即 CE(Credential Encryption)和 DE(Device Encryption)存储?41?CE存储?:文件加密与?户凭?关,提供了?户凭?后才?使?,即?户?之后才?使?DE存储?:在?备执?启动后就?使?,即在?备启动之后就?使?应?产?数据,开发?可指定数据存储?,?情况下存放在CE存储?下,但是对于某些场景,应?在?户?前就可?文件,例如时?壁?,此时应?将?些文件存放到DE存储?敏感数据存储 敏感数据存储,又?为关?产存储,提供了关?敏感?数据?本地加密存储,应?可以将?户?安全敏感?关?产?数据(如?户?APP?号密?,?卡号?)在本地加密存储,加密?些数据?
49、密?存储在安全?区,只有合法?应?才?并?密?些数据?与此同时,关?产存储?支持以下?些安全措施:?支持基于?户?份?二次?控制:支持?数据?户?再次即时?授权,如?户?屏口令,或指?人?征?即使?户?备在?态下?他人使?,他人也无法未?授权?取?些?数据?支持基于?备当前?态?控制:支持?数据在不同?备?态下是否可以?,包括以下几?态:42?密?时有效:数据只有在?备?了?屏密?时候才可?,如果?户?备?屏密?,数据也会?时有效:只有?备处于?定?态下,数据才可?,如果?备?新?定,数据无法?次?后有效:每次?启?备后,必?在?户?入?次?屏口令后,数据才可?总是有效:只?备处于开机?态下,
50、数据?可?密?密?库?(?文全?:HarmonyOS Universal KeyStore,以下?HUKS)是HarmonyOS 提供?密?服务,为应?提供密?全?命周期?力,包括密?成?密?存储?密?使?密?毁?功?HUKS 基于?安全?力,为应?提供密?全?命周期?安全?,应?无?己实?,利?HUKS?力,就?保业务密?安全?HUKS 提供?核心安全机制包括以下几?:?密?明文不出安全?境:HUKS?核心?是密?全?命周期明文不出安全?境HUKS Core,可根据?备?力?不同,对接TEE(Trusted Execution Environment)?在支持TEE?备,HUKS Core?
浙ICP备2021020529号-1 | 浙B2-20240490 
