如何用HarmonyOS NEXT星盾安全架构，解决金融领域安全问题

2024年华为开发者大会（HDC）上，华为带来了全新自研的 HarmonyOS NEXT星盾安全架构，重新构建了操作系统的安全体系与秩序，并能从源头确保应用的纯净可靠。其中，鸿蒙内核卓越的安全能力也得到业界高度认可，成为首个获得国际CC EAL 6+认证的通用操作系统内核。

HarmonyOS NEXT提供的关键资产存储服务、设备证书服务、用户身份认证服务、加密算法框架服务、在线认证服务、设备安全服务、密钥管理服务等系统级能力，帮助金融行业开发者解决数据隐私、交易风险等问题，让原生应用更安全。

本篇内容将详细介绍HarmonyOS NEXT星盾安全架构的多重安全保障能力，同时分享基于鸿蒙生态安全底座，如何解决金融领域被篡改人脸、位置信息实施被骗，高频功能操作步骤多等场景问题。

一.HarmonyOS NEXT安全服务

HarmonyOS NEXT的设备安全服务（Device Security Kit），主要为开发者提供应用设备状态检测（DeviceVerify）、安全检测（SafetyDetect）和可信应用服务（TrustedAppService），可以保护应用程序免受安全威胁和保证应用的数据安全。

 (一)应用设备状态检测(Device Verify)

应用通过调用Device Security Kit  应用设备状态检测Device Verify服务的getDeviceToken接口获取到DeviceToken，应用的服务器使用DeviceToken到Device Security服务器查询和管理应用在该设备的使用状态。具体业务流程可参照下图——

通过集成应用设备状态检测能力，开发者应用可以根据Device Security服务器返回的使用状态，判断应用是否在该设备上首次安装，或在该设备上用户是否已获取了优惠券等，以支撑业务进行新用户营销活动，防止黑灰产薅羊毛行为。

(二)安全检测（SafetyDetect）

安全检测主要分为系统完整性检测和URL检测。

1.系统完整性检测

应用通过调用Device Security Kit的checkSysIntegrity接口获取系统完整性检测结果，用于判断设备环境是否安全，比如是否被越狱、被模拟等。应用可以根据检测结果评估如何进行业务操作。具体业务流程可参照下图：

2.URL检测

应用通过调用Device Security Kit的checkUrlThreat接口检测URL是否为恶意，并且根据检测结果来提示或拦截该URL。具体业务流程可参照下图：

 

URL检测可适用于三方链接打开或网址打开等场景，如当用户访问网址时，判断用户访问的URL是否为恶意网址，对于恶意网址，提示或拦截用户的访问风险。

(三)可信应用服务（TrustedAppService）

可信应用服务支持初始化签名的密钥、建立证明的会话和获取安全地理位置，能够为安全摄像头和安全地理位置功能提供基于安全区签名的安全证明能力，确保图像或位置数据未被篡改。

1.安全摄像头场景

在安全摄像头场景中，通过创建证明密钥、初始化证明会话的方式初始化签名的密钥，然后和Camera Kit结合，通过设置相机安全模式，对安全摄像头捕捉到的图像数据在安全区进行签名，确保图像数据的真实性和完整性， 上层应用的活体检测能力可以基于签名的安全图像进行识别，并最终在服务器端进行安全图像的验证，能够防止图像被AI技术等进行篡改而导致业务的风险。具体业务流程可参照下图：

2.安全地理位置场景

在安全地理位置场景中，通过同样的方法，创建证明密钥、初始化证明会话的方式，对从GPS硬件或网络位置获取到的地理位置信息在安全区进行签名，确保地理位置信息的真实性和完整性， 可应用在风控场景中，防止因地理位置被篡改带来的安全风险。具体业务流程可参照下图：

二.金融行业安全场景实操

了解完相关能力，下面将以金融行业高频安全场景为例，分享基于鸿蒙生态安全底座，金融行业安全能力将获得怎样的优化升级。

场景1：不法分子通过模拟环境频繁注册获取新用户福利金造成应用损失。

开发者应用可在业务请求（如领取新用户福利）时把通过接口对设备状态标记发送到应用的服务器。应用服务器发送DeviceVerify Rest请求到Device Security服务器，并对该设备的状态（如是否已领取优惠券）进行查询（getDeviceStatus接口）和设置（setDeviceStatus接口）。查询后Device Security服务器将返回DeviceVerify响应。应用服务器根据Device Security服务器返回的响应进行相应的业务处理。通过对该设备匿名的状态查询该设备是否已经标记来判断该设备是否已经领取过新用户福利，即使恢复出厂该标记依旧有效，可以防止被黑灰产薅羊毛的场景。

基于应用设备状态检测，可有效规避不法分子通过模拟机、模拟环境、虚拟号码等频繁注册应用用户获取新用户福利，非法获利及造成应用损失。

场景2：不法分子盗取用户账号后，企图通过AI换脸、摄像头劫持等手段欺瞒银行活体识别、通过篡改IP地址绕过风控等，最终导致用户财产损失。

为防止恶意用户伪造数据，鸿蒙原生应用的端侧和云侧在对数据进行验签之前，先验证匿名证书链的正确性。初始化证明会话时返回的匿名证书链包含三级证书，验证步骤包括使用官网提供的根CA证书对匿名证书链的合法性和有效期进行校验、解析三级证书获取应用公钥、AppID、密钥管理部件ID和检查三级证书的扩展字段是否符合预期等。

除上述验证之外，针对端侧验证图像数据或地理位置数据签名的需求，将首先获取用户真实签名数据。

如安全摄像头图像数据——

 

将用户传入的数据和图像数据进行签名，图像数据长度固定为460800字节，签名数据是经过Base64编码的签名结果，使用者需要解析出这些数据用来验证安全图像数据签名。

如安全地理位置数据，需要将返回的结构体中的数据拼接成字符串形式，格式要求包括：

• 数据排列顺序为：纬度、经度、高度、精确度、时间戳和用户数据。
• 纬度、经度和高度类型为浮点型，精度为小数点后保留15位；精确度为浮点型，精度为小数点后保留6位；时间戳类型为64位正整数；用户数据类型为字符串。
• 数据之间的分隔符使用英文逗号。

获取用户签名数据后将对数据进行验签，验签流程包括：

1. 从匿名证书链中获取公钥；
2. 创建非对称密钥类型为ECC256、摘要算法为SHA256的Verify实例，并使用公钥进行初始化；
3. 将待验证的数据传入到Verify实例中并验签。

经过重重比对后，如果用户相关数据匹配，才可以通过银行检测，反之将识别风险，让不法分子的虚拟面容识别和篡改地理位置不通过，保障用户的财产安全。

场景3：金融业如诈骗链条长且过程复杂、应用获取信息有限无法判断用户是否存在诈骗风险；电商业如运营活动频繁遇到黑/灰产通过模拟人工点击的方式大量占用活动营销资源，造成活动达不到效果且成本、资源浪费等问题。

除设备安全服务（Device Security Kit）的应用之外，针对上述问题，华为正开发上线安全风控及OS系统级反诈能力。

针对上图中的诈欺场景，新建HarmonyOS电信涉诈剧本检测自研方案，提升HarmonyOS电信反诈骗和生态伙伴反诈骗能力，帮助应用用户减少诈欺和财产损失，打造纯净安全的系统环境。

具体业务流程可参照下图：

基于HarmonyOS NEXT打造的生态纯净、隐私可控、数据高安的应用环境，已有超500多款金融领域应用加入鸿蒙生态。星河璀璨，星盾护航。加入鸿蒙正当时！期待更多金融领域应用拥抱鸿蒙生态，共建共享鸿蒙世界！ 

应用开发入门详细文档可见链接：https://developer.huawei.com/consumer/cn/codelabsPortal/getstarted/101718800110527001