誘導(dǎo)用戶下載安裝惡意應(yīng) 竊取用戶數(shù) 強(qiáng)制推送廣 利用漏洞攻擊其他應(yīng)用程 盜版軟 開發(fā)者注冊和實(shí)名認(rèn) 申請(qǐng)開發(fā)者證 申請(qǐng)應(yīng)用Profile文 代碼安全檢 代碼混 應(yīng)用檢測與審 應(yīng)用加 應(yīng)用簽 基礎(chǔ)安全架構(gòu)模 基礎(chǔ)安全防 應(yīng)用權(quán)限管 隱私控制設(shè) 用戶身份認(rèn) 應(yīng)用數(shù)據(jù)保 應(yīng)用運(yùn)行時(shí)安全檢 應(yīng)用風(fēng)險(xiǎn)行為管 應(yīng)用擴(kuò)展管 本地身份認(rèn) 免密認(rèn) 支付應(yīng)用的憑據(jù)保護(hù)的同 基于國密算法的密鑰管理能 提供設(shè)備級(jí)風(fēng)控?cái)?shù) 可信位置信息和人臉圖 防止虛假設(shè) 防范對(duì)支付界面的威 O9效率設(shè)備，應(yīng)用程序來源不歸一，PC用戶在日常使用過程中，常常因?yàn)橄螺d軟件或訪問網(wǎng)如何幫助應(yīng)用程序最小程度地受到漏洞影響完整性不被破壞；通過簽發(fā)應(yīng)用Profile，保證HarmonyOS對(duì)應(yīng)用關(guān)鍵屬性和敏感能力進(jìn)在開發(fā)鴻蒙應(yīng)用之前，開發(fā)者首先需要在HarmonyOS名認(rèn)證。認(rèn)證通過后，官網(wǎng)為開發(fā)者分配開發(fā)者ID，用于后續(xù)申請(qǐng)應(yīng)用開發(fā)所需的開發(fā)者證書和應(yīng)用配置文件，開發(fā)者開發(fā)的所有鴻蒙應(yīng)用都會(huì)關(guān)聯(lián)到對(duì)應(yīng)的開發(fā)者ID，可以有效鴻蒙應(yīng)用開發(fā)者在擁有開發(fā)者ID后，可以申請(qǐng)開發(fā)者證書，用于后續(xù)對(duì)其開發(fā)的鴻蒙源可靠，只有簽名校驗(yàn)通過，才能在應(yīng)用市場發(fā)布，以及在HarmonyOS上安裝。鴻蒙應(yīng)用的開發(fā)者證書遵從X.509的證書鏈等信息；在應(yīng)用上架和安裝時(shí)，都會(huì)基于HarmonyOS開發(fā)者證書中的開發(fā)者公鑰，由開發(fā)者生成并提交給HarmonyOS行強(qiáng)制校驗(yàn)，確保安裝在HarmonyOS開發(fā)者進(jìn)行實(shí)名認(rèn)證獲取開發(fā)者ID，以及申請(qǐng)開發(fā)者證書之后，還需要申請(qǐng)待開發(fā)應(yīng)用的Profile授權(quán)文件。應(yīng)用ProfileHarmonyOS少數(shù)場景才需要申請(qǐng)、應(yīng)用的開發(fā)者ID、應(yīng)用的開發(fā)者證書等。ProfileECC簽名符合PKCS#7標(biāo)準(zhǔn)。應(yīng)用Profile授權(quán)文件是應(yīng)用必不可少的組成部分，被打包到應(yīng)用ProfileProfileProfile（ProfileDevEcoStudioDevEcoStudio提供了codelinter功能，對(duì)代碼的通用規(guī)范性檢測，同時(shí)也會(huì)重DevEcoStudio提高攻擊者分析代碼的難度，DevEcoStudio中默認(rèn)提供了代碼混淆能力，混淆后的JS、TS、ArkTS代碼混淆方案是基于源碼混淆，將源碼轉(zhuǎn)為抽象語法樹（AST，在AST積，生成sourcemap文件用于編譯混淆后應(yīng)用的調(diào)試，生成namecache文件用于熱更新隱私政策托管是指在開發(fā)者提交應(yīng)用上架時(shí)，按照官方隱私政策模版填寫應(yīng)用或SDK申請(qǐng)的系統(tǒng)權(quán)限及其申請(qǐng)理由，應(yīng)用或SDK收集個(gè)人信息、收集目的及其使用范圍等，通個(gè)人信息收集與使用、權(quán)限申請(qǐng)與訪問、未成年人保護(hù)、第三方共享信息、三方插件與SDK的基礎(chǔ)上，應(yīng)當(dāng)遵守相應(yīng)的生態(tài)規(guī)則，包含賬號(hào)、廣告、輸入法、Web內(nèi)核、元服務(wù)API和webview組件等規(guī)范。具體的規(guī)范以元服務(wù)和應(yīng)用的相應(yīng)規(guī)范為準(zhǔn)，生態(tài)規(guī)則的檢測在力，需要上架應(yīng)用市場的應(yīng)用，在開發(fā)階段可選擇對(duì)APP進(jìn)行內(nèi)容安全（隱私（兼容性、穩(wěn)定性、性能等）檢測，幫助開發(fā)者在開發(fā)階段發(fā)現(xiàn)潛在的內(nèi)容安全、應(yīng)用質(zhì)量等問題并及時(shí)修復(fù)，不僅可以降低開發(fā)者上架駁回概率，提升開發(fā)者上架效率，還可以提升過應(yīng)用市場的審核并獲得更多的下載量，在應(yīng)用開發(fā)階段，開發(fā)者需要考慮到內(nèi)容安全和應(yīng)用質(zhì)量的問題，以確保應(yīng)用能夠通過應(yīng)用市場的審核，并獲得用戶的信任和好評(píng)。為了保護(hù)應(yīng)用代碼安全，保護(hù)開發(fā)者的核心資產(chǎn)，HarmonyOS密，然后提取文件明文在內(nèi)存中執(zhí)行。應(yīng)用加密采用標(biāo)準(zhǔn)AES開發(fā)者使用發(fā)布證書和發(fā)布Profile對(duì)應(yīng)用安裝包簽名后，上架應(yīng)用市場。應(yīng)用市場會(huì)HarmonyOSHarmonyOSCA根CA開始采用證書鏈的方式簽署。對(duì)于調(diào)試應(yīng)用的安裝，HarmonyOS試Profile中的設(shè)備ID與當(dāng)前設(shè)備ID的匹配，如果不匹配的話禁止安裝。對(duì)于發(fā)布應(yīng)用的安裝，HarmonyOS審查。為維護(hù)鴻蒙應(yīng)用生態(tài)的純凈與用戶體驗(yàn)，HarmonyOS和開發(fā)者的調(diào)試應(yīng)用則使用華為頒發(fā)的證書做代碼簽名。HarmonyOS禁止應(yīng)用執(zhí)行未包含合法簽名的代碼，包括但不僅限于應(yīng)用本身、補(bǔ)丁、插件以及共享庫的代碼；禁止應(yīng)用修改已簽名的代碼內(nèi)容，實(shí)現(xiàn)與提交給應(yīng)用市場宣傳不一致的功能特性；在維持上述安全原則的情況下，為滿足應(yīng)用對(duì)動(dòng)態(tài)代碼更新的訴求，HarmonyOSHarmonyOS在保護(hù)用戶隱私上，HarmonyOS發(fā)者使用Picker、安全控件等權(quán)限細(xì)粒度管控手段，從根本上解決權(quán)限濫用的問題。嚴(yán)重影響的惡意行為的能力，HarmonyOS會(huì)適時(shí)主動(dòng)限制或撤銷惡意應(yīng)用的相關(guān)功能。HarmonyOS構(gòu)建基于洋蔥模型的分級(jí)安全機(jī)制，是構(gòu)建運(yùn)行生命周期安全的基礎(chǔ)。HarmonyOSAPL（AbilityPrivilegeLevel：normal，systembasicsystemcore。應(yīng)用各自運(yùn)行在獨(dú)立的沙盒化環(huán)境中，默認(rèn)僅允許訪問自身的文件，如需訪APLAPL權(quán)限管控是HarmonyOS提供的眾多安全機(jī)制中的一個(gè)例子。作為生態(tài)構(gòu)建者，HarmonyOS提供了應(yīng)用生命周期端到端的安全解決方案，為開發(fā)者提供放心的應(yīng)用開發(fā)和整、穩(wěn)定，甚至影響用戶數(shù)據(jù)的安全。HarmonyOSHarmonyOS應(yīng)用程序間互相非法訪問數(shù)據(jù)，甚至篡改設(shè)備。每一個(gè)應(yīng)用程序擁有唯一的ID，并基于此ID進(jìn)行訪問的識(shí)別與限制。應(yīng)用沙盒限定了只有目標(biāo)受眾才能訪問應(yīng)用內(nèi)的數(shù)據(jù)，同時(shí)也應(yīng)用沙盒的分布式數(shù)據(jù)目錄。該目錄下存放的文件能夠被超級(jí)終端內(nèi)其他設(shè)備上的同應(yīng)用訪問。應(yīng)用需保證放置在該目錄下的子目錄和文件與其他設(shè)備上存儲(chǔ)的不沖HarmonyOSAPL在應(yīng)用程序開發(fā)階段，開發(fā)者可利用DevEcoStudio在運(yùn)行階段，HarmonyOScanaryreturntolibc這類攻擊技巧，隨機(jī)化可大幅增加攻擊者定位庫函數(shù)地址的難度。CF（控制流完整性保護(hù)。為應(yīng)對(duì)攻擊者常用的JP/等攻擊方法，amonyS同時(shí)為應(yīng)用程序提供了前向和后向CF錯(cuò)誤非法篡改應(yīng)用程序的函數(shù)返回地址和函數(shù)指針。CF技術(shù)可在攻擊路徑的關(guān)鍵節(jié)點(diǎn)進(jìn)行有效攔截，起到極佳的防御效果。HarmonyOS以洋蔥模型為基礎(chǔ)，提供了一種允許應(yīng)用訪問系統(tǒng)資源（例如，通訊錄過度索取和濫用權(quán)限，HarmonyOS基于應(yīng)用的APL等級(jí)，配置不同的權(quán)限開放范圍。不同級(jí)別的權(quán)限對(duì)應(yīng)用開放范圍不同。例如，normal權(quán)限表示對(duì)所有應(yīng)用開放，但如果三方應(yīng)用需要使用system_basic權(quán)限和system_core權(quán)限，則必須通過向應(yīng)用市場申請(qǐng)HarmonyAppProvision授權(quán)證書的方式，來申請(qǐng)使用這類權(quán)限。TokenIDAT(AccessToken)信息，包括應(yīng)用APPIDIDAPL(AbilityPrivilegeLevel)、應(yīng)用權(quán)限授權(quán)狀態(tài)等信息。在資源使用時(shí)通過TokenID作為唯一身份標(biāo)識(shí)映射獲取對(duì)應(yīng)程序HarmonyOS：HarmonyOSArkUIUI安全增強(qiáng)部分實(shí)現(xiàn)了包括地址隨機(jī)化、挑戰(zhàn)值檢查、回調(diào)UIPickerpickerPickerPickerPicker，應(yīng)用無需申請(qǐng)權(quán)限就可以在權(quán)限允許范圍內(nèi)的訪問敏感數(shù)據(jù)。應(yīng)用通過拉起系統(tǒng)picker界面，允許用戶在預(yù)定義目前，HarmonyOS照片文件音頻相機(jī)聯(lián)系人掃碼卡證識(shí)別文檔掃描用戶身份認(rèn)證與訪問控制子系統(tǒng)（UserIdentityandAccessManagement，簡稱用戶IAM）提供了系統(tǒng)級(jí)用戶身份識(shí)別與認(rèn)證能力。系統(tǒng)提供的統(tǒng)一用戶身份認(rèn)證API，可以幫份認(rèn)證API（authoken用戶IAM子系統(tǒng)主要由統(tǒng)一用戶身份認(rèn)證框架、身份認(rèn)證控件，以及口令、指紋、人HarmonyOS根據(jù)數(shù)據(jù)在智能終端設(shè)備上的處理的過程，數(shù)據(jù)生命周期包括生成（Create、存儲(chǔ)RestUseransitatRestHarmonyOS針對(duì)數(shù)據(jù)inUse保護(hù)，通常與訪問控制機(jī)制關(guān)聯(lián)，HarmonyOS提供系統(tǒng)級(jí)密鑰管理機(jī)制，應(yīng)用開發(fā)者可將數(shù)據(jù)的訪問控制歸約為密鑰的訪問控制條件，HarmonyOSinTransitHarmonyOS然可控、同時(shí)限制數(shù)據(jù)的二次轉(zhuǎn)發(fā)行為，可利用HarmonyOSFBE（File-basedencryption）FBECE（CredentialEncryption）DE（DeviceEncryption）存用可以將用戶高安全敏感的關(guān)鍵資產(chǎn)短數(shù)據(jù)（如用戶的APP賬號(hào)密碼，銀行卡號(hào)等）在本支持設(shè)置訪問數(shù)據(jù)需要經(jīng)過用戶的再次即時(shí)的授權(quán)，如驗(yàn)證用戶鎖屏口令，或指紋人臉等生物特征。即使用戶的設(shè)備在解鎖狀態(tài)下給他人使用，他人也無法未經(jīng)授權(quán)訪問獲取這些隱私數(shù)據(jù)。設(shè)置密碼時(shí)有效：數(shù)據(jù)只有在設(shè)備設(shè)置了鎖屏密碼的時(shí)候才可訪問，如果用戶清除設(shè)備鎖屏密碼，數(shù)據(jù)也會(huì)被清除。解鎖時(shí)有效：只有設(shè)備處于解除鎖定的狀態(tài)下，數(shù)據(jù)才可被訪問，如果設(shè)備重新被鎖定，數(shù)據(jù)無法被訪問。第一次解鎖后有效：每次重啟設(shè)備后，必須在用戶輸入一次鎖屏口令后，數(shù)據(jù)才可被訪問。通用密鑰庫系統(tǒng)（英文全稱：HarmonyOSUniversalKeyStoreHUKS）是HarmonyOS密鑰生成、密鑰存儲(chǔ)、密鑰使用、密鑰銷毀等功能。HUKS基于系統(tǒng)安全能力，為應(yīng)用提供密鑰全生命周期的安全管理，應(yīng)用無需自己實(shí)現(xiàn)，利用HUKS密鑰的安全。HUKS提供的核心安全機(jī)制包括以下幾點(diǎn)：HUKSCore，可根據(jù)設(shè)備能力的不同，對(duì)接TEE（TrustedExecutionEnvironment在支持TEE的設(shè)備，HUKSCore運(yùn)行在硬件安全環(huán)境中。上層業(yè)務(wù)只能通過密鑰別名或系統(tǒng)級(jí)安全加密存儲(chǔ)同時(shí)US訪問密鑰，只有通過即時(shí)的身份驗(yàn)證（如驗(yàn)證鎖屏密碼，人臉，指紋等，才能訪問密鑰。身份認(rèn)證的結(jié)果在安全隔離環(huán)境中生成和驗(yàn)證，即使設(shè)備REichEeuonnioment)（ooHarmonyOS行為符合法律法規(guī)等要求。運(yùn)行時(shí)的安全檢測包含應(yīng)用對(duì)OS關(guān)鍵行為的檢測、對(duì)權(quán)限獲取HarmonyOS在構(gòu)筑業(yè)界領(lǐng)先的安全防護(hù)能力的前提下，基于威脅感知、分析、響應(yīng)正HarmonyOS始終關(guān)心用戶隱私，分析技術(shù)的實(shí)現(xiàn)都是在端側(cè)，端側(cè)分析的風(fēng)險(xiǎn)結(jié)果會(huì)經(jīng)過脫敏后在云側(cè)進(jìn)一步基于大數(shù)據(jù)模型和AI模型進(jìn)行分析，通過聚合關(guān)聯(lián)進(jìn)一步提升應(yīng)用行為風(fēng)險(xiǎn)感知的能力。HarmonyOSHarmonyOS用戶的各種需求；但是應(yīng)用開發(fā)者也可以通過HarmonyOSHarmonyOSOS應(yīng)用的違規(guī)行為進(jìn)行動(dòng)態(tài)約束。應(yīng)用風(fēng)險(xiǎn)行為管控依賴HarmonyOS應(yīng)用運(yùn)行時(shí)的安全檢為后，HarmonyOS支持更新管控策略，撤銷相關(guān)應(yīng)用的管控項(xiàng)。以應(yīng)用跳轉(zhuǎn)為例，HarmonyOS和開發(fā)者應(yīng)該減少或避免觸發(fā)非用戶意圖的應(yīng)用跳轉(zhuǎn)行為，包括不限于誘導(dǎo)跳轉(zhuǎn)、虛假鏈接等。HarmonyOS會(huì)對(duì)可疑的應(yīng)用跳轉(zhuǎn)行為對(duì)用戶進(jìn)行針對(duì)文件打開的功能場景，HarmonyOS為應(yīng)用程序提供了API，應(yīng)用程序可以通過調(diào)拉起picker頁面，展示滿足請(qǐng)求的其他應(yīng)用程序，允許用戶在其中進(jìn)行選擇，用戶完成選針對(duì)導(dǎo)航、金融等垂類場景，HarmonyOSTargetTarget展示在應(yīng)用擴(kuò)展面板上，用戶可以自行選擇某一Target應(yīng)用進(jìn)行跳轉(zhuǎn)。對(duì)不同垂類意圖的Target應(yīng)用進(jìn)行精細(xì)化管控，對(duì)于識(shí)別的風(fēng)險(xiǎn)應(yīng)用或違規(guī)應(yīng)用進(jìn)行限制，護(hù)好用戶的敏感數(shù)據(jù)，還要符合監(jiān)管的合規(guī)要求，是HarmonyOS針對(duì)金融應(yīng)用的特殊需求，HarmonyOS融應(yīng)用面對(duì)的主要場景與問題，以及HarmonyOS提供的安全能力和集成方法。TEEOSUserAuthenticationKit（用戶認(rèn)證服務(wù)：屏蔽了認(rèn)證方式差異，提供了歸一化的用戶身份認(rèn)證API，便于開發(fā)者調(diào)用系統(tǒng)提供的用戶身份認(rèn)證能力；的核心能力下沉TEE，能確保用戶生物特征數(shù)據(jù)的安全性和認(rèn)證結(jié)果的可靠性。UserAuthenticationKit用戶為了降低對(duì)密碼的管理復(fù)雜度，會(huì)只記錄1~2個(gè)復(fù)雜密碼，并在不同應(yīng)用間復(fù)用，安全加強(qiáng)措施，驗(yàn)證方式包括短信驗(yàn)證、郵箱驗(yàn)證、外置USB設(shè)備、指紋、人臉等驗(yàn)證方IIFAAFIDOIFAA（IFAA在本文中指HarmonyOS系統(tǒng)免密認(rèn)證模塊，IIFAA在本文中指聯(lián)盟及相關(guān)技術(shù)規(guī)范）免密認(rèn)證模塊，提供移動(dòng)端免密身份認(rèn)證能力，實(shí)現(xiàn)接入IIFAA（互聯(lián)網(wǎng)可信HAPOnlineAuthenticationKit器內(nèi)IIFAA服務(wù)由金融伙伴開發(fā)完成。FIDOFIDOUAF免密支付等業(yè)務(wù)場景，包括：開通FIDO免密身份認(rèn)證功能、使用FIDO免密身份認(rèn)證功能、關(guān)閉FIDO免密身份認(rèn)證功能。HAPOnlineAuthenticationKit器內(nèi)FIDO服務(wù)由金融伙伴開發(fā)完成。用戶在手機(jī)的支付應(yīng)用手動(dòng)輸入賬號(hào)密碼登錄后，在其他設(shè)備（如平板、PC）登錄相AssetStoreKit（關(guān)鍵資產(chǎn)存儲(chǔ)服務(wù)）為應(yīng)用提供了端端加密同步能力。敏感數(shù)據(jù)（密如下圖所示，應(yīng)用僅需調(diào)用AssetStoreKit的新增、查詢接口，即可完成憑據(jù)的安全AssetStoreKit（關(guān)鍵資產(chǎn)存儲(chǔ)服務(wù)SM2、SM3、SM4UniversalKeystoreKit（通用密鑰庫系統(tǒng)）提供了基于安全環(huán)境的密鑰管理，保證密不會(huì)暴露在REE目前通用密鑰庫支持SM2、SM3、SM4國密算法，金融應(yīng)用調(diào)用UniversalKeystoreKit提供的接口，即可保障用戶數(shù)據(jù)受到國密技術(shù)的保護(hù)，且在系統(tǒng)REE側(cè)被攻破的情況下，UniversalKeystoreKit（密鑰管理服務(wù)1HarmonyOS2URLHarmonyOS提供惡意URL檢測能力并開放給三方生態(tài)應(yīng)用，通過該能力，生態(tài)應(yīng)用惡意軟件風(fēng)險(xiǎn)：通過將設(shè)備訪問的URL與已知的惡意URL網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)：URLURL系統(tǒng)完整性檢測和惡意URL檢測并非萬能，也存在一定的局限性。例如，新的惡意軟AppApp以瞬間移動(dòng)到NPC，破壞游戲平衡。在TEE里完成位置信息和人臉圖像的采集，保證這些信息采集過程的安全性。同時(shí)，TEE還會(huì)對(duì)這些信息做簽名，應(yīng)用服務(wù)器先驗(yàn)證簽名、保證數(shù)據(jù)的安全性和完整性后，再使不能解決外部輸入的安全性。比如，位置信息的外部輸入依賴GNSS，如果GNSS被攻擊通過驗(yàn)證請(qǐng)求是否來自真實(shí)的設(shè)備，防范黑灰產(chǎn)仿冒真實(shí)設(shè)備（如通過模擬器仿冒真實(shí)設(shè)備）發(fā)送抽獎(jiǎng)、搶購、刷優(yōu)惠游戲防作