华为-科技行业：鸿蒙生态应用安全技术白皮书V1.0

V1.0本材料所⃞内容受ੋ作权法ङ保护，ੋ作权ं华为公司或其ક可人拥有，但注明引⃞其他方ङ内容ஔ外澞商ߗ声明华为意O1前ઈO2O3ˣˣˣˣˣˣˣˣˣˣˣˣˣˣɪˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣɫ3）强制推ଟ广告ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ10ऀˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ10ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ11O4O51）开发ৱ注册和实名ઍચˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ172）ःબ开发ৱચ书ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ183）ःબ应⃞Profile文件ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ194）代ु安全检查ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ205）代ु⃞⃞ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ21O6ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ23ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ24ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ25O71）基ॅ安全架构模型ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ292）基ॅ安全அ护ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ31ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ334）⃞ड़控制ગઋˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ355）⃞户૯份ઍચˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ38ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ39ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ44ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ45ɫ）应⃞快ବ修复ˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣˣ46O8展望ChapterChapter123சव१动互⃞ৠ技术ङ⃞ବ发展和⃞子ગ备ङ快ବ普及，各ঝ应⃞३序呈࣫ऀ३ऀ⃞态构建ৱ作为କ接应⃞开发ৱ与⃞户ङা带，在其中⃞वਙ关୍⃞作⃞澞⃞态构建ৱ为开发ৱ提供开发⃞境澝工具套件和市场⃞ଳ，安全性澞⃞态构建ৱ对于१动应⃞ङ成功和推广⃞वਙ关୍⃞ङ作⃞，同时⃞态构建ৱଐਚ每个家庭澝每个ুৃ，构建万⃞互⃞ङ智ਈ世उ澞ChapterChapter245ী和⃞⃞构建ী三个અ⃞共同ু成了▲个发ৱ和⃞态构建ৱ⃞੧产品ଙ代和优化ङ୍⃞依据澞⃞户ङ体⃞和ࢠ意度फ接影响व应⃞३ऀପଋ不断地优化和改⃞ਘ己ङ产品，以ࢠૡऀ户⃞求和市场变化澞6应⃞३序不会对⃞户ଭ成任何安全威⃞澞⃞包括े保应⃞३序没有ࢥ⃞澝没有植入恶意代ु，ChapterChapter3ऀ78ओ毒应⃞ॄ坏ઋ⃞机⃞⃞可⃞性，⃞合其他॑会工३学手段，1）⃞导⃞户下ૉ安ੇ⃞意应⃞ৱ会想方ગ法将其开发ङ恶意应⃞分发到⃞户ङગ备上澞▲ਢ情况下，开发ৱ可以ପଋ官方应⃞分发平台，如呷果ङAppStore，હ歌ङ9⃞户数据是企业和ুৃङ୍⃞信息来，可以⃞于市场ੈ୦澝客户服务澝产品开发ঈ方্应⃞३序ੂ得⃞些数据，但也不应થ把是否提供数据ङଣ择权，完全交ো⃞户澞开发ৱ和3）强制推૮广告在应⃞३序ङ开发ଋ३中，人为୪ન，ગઋ⃞⃞和ମ૾୪નঈ⃞ொ，ୃ可ਈ导ਚࢪ在ङऀࢥ，ପଋ制ଭ⃞冲区⃞出澝注入恶意代ुঈ方式，改变应⃞३序原本੧为，控制३序作恶ଇ到攻击ৱङऩङ澞已⃞成为了全⃞ਸ围内ङ▲य़威⃞澞免ોੂ取付ો⃞件ङ⃞惑以及⃞⃞利ञङ⃞使，使得थथ⃞⃞件主⃞是ପଋ仿冒应⃞३序或୍新打包应⃞३序产⃞ङ澞थ⃞⃞件带来了ભ多િ其次，थ⃞⃞件有ࢪ在ङ安全⃞க澞थ⃞⃞件ପ常ପଋগ改或注入恶意代ु，ো⃞户ગ从৲对个人⃞ड़和信息安全构成严୍威⃞澞ࣩChapter4ੌग保开发ীા份ࣩ公开⃞明，无不৶内容，无⃞意ਸ਼为ঈ基本⃞求澞同时也ੌ保੩开发ী⃞应⃞स序安全可⃞对有恶意੧为ङ应⃞，⃞建ै分ঃॡ控措施，根据应⃞੧为ङ严୍३度，按⃞求对应⃞ङ权ChapterChapter5ःબ开发ৱચ书ःબ代ु代ु保ચ应⃞开发ৱ૯份ऱ实可信，我们ପଋ开发ৱચ书对应ऀ完整性不ੴॄ坏；ପଋ⃞发应⃞Profile，保ચHarmonyOS对应⃞关୰属性和敏感ਈ力应⃞ङ安全性，ହ免应ऀੴ攻击，⃞态构建ଋ३中ପଋ代ु安全检查减少安全ࢥ⃞，ପଋ代ु⃞⃞ৈ合应⃞发布உ段ङ应⃞代ु加密，可以显ੋ增加应⃞ੴଢ向ङ⃞度，从৲保ચ应⃞1）开发ী册和实名ੜ੩名ઍચ澞ઍચପଋ后，官ৠ为开发ৱ分⃞开发ৱID，ऀऀચ书和应ऀऀୃ会关৻到对应ङ开发ৱID，可以有效⃞上，ପଋ开发ৱ注册和实名ઍચ，我们可以े保渇⃞应⃞ङ来⃞ୃ是可信ङ澞ःબ开发ৱચ书，⃞于后⃞对其开发ङ渇⃞渇⃞应⃞ङ开发ৱચ书ସ从X.509公ୗચ书标准，ચ书中包含开发ৱ公ୗ以及⃞于校⃞开发ৱચ书中ङ开发ৱ公ୗ，ं开发ৱ⃞成并提交োHarmonyOS应⃞开发官ৠ；开发ৱ公ୗ对应ङड़ୗं开发ৱ保⃞，开发ৱ⃞⃞े保ड़ୗङ安全，严格⃞⃞ड़ୗङઘ⃞权ஒ，ହ免ड़ୗ泄ர澝损坏ঈ情况出⃞澞ऀલડஉ段和上HarmonyOSગ备上，ஒ制条件是：લડ应⃞只允ક⃞੧在指定ङગ备上（થગ备ङગ备ID⃞与应⃞લડProfile中ङગ备ID匹⃞以ஒ制其⃞੧ગ才允ક上架应⃞市场澞使⃞发布ચ书⃞发ङ应⃞不对⃞੧ગ备ङID⃞੧ஒ制，但必ீ⃞੧强制校⃞，े保安⃞在HarmonyOSગ备上ङ应⃞安⃞包ୃ是未⃞গ改和来⃞可信ङ；并且可以ପଋ开发ৱચ书关⃞到⃞ଋ实名ઍચङ开发ৱ澞开发ৱ੧实名ઍચੂ取开发ৱID，以及ःબ开发ৱચ书之后，ଐ⃞ःબ待开发应ऀङProfile授权文件澞应⃞Profile授权文件是应⃞ङ૯份ચ明文件，⃞于HarmonyOS对应⃞Profile授权文件⃞⃞在开发ৱৠ⃞⃞名অ合PKCS#7标准澞应⃞Profile授权文件是应⃞必不可少ङু成ୂ分，ੴ打包到应⃞应⃞Profile授权文件按⃞⃞ନ分为લડProfile和发布Profile（应⃞发布Profileःબઁੰৱલડચ书和应⃞લડProfile本地⃞০લડ应⃞；લડ应⃞可以फ接⃞੧在开发ৱ本地ગ备上，无⃞⃞ଋ上架审核澞ं于未⃞上架审核ङલડ应⃞ૅ⃞是未ऽङ，因此为了保护⃞户权ञ，HarmonyOS强制⃞求લડProfile中必ீ包含本地ગ备ID列੮和授权权ஒ列੮，લડ应⃞只ਈ⃞੧在列੮中ङગ备上，每个લડProfile包含ङગ备ID有最大数⃞ऀ⃞市场澞开发ৱ⃞⃞ઍऱ审ં应⃞市场上架审核ઁਸ，ହ免ं于审核不ପଋ导ਚङ应⃞३序୍复开发澞ुૅु中ङࢪDevEcoStudio提供了codelinter功ਈ，对代ुङପ⃞ઁਸ性检⃞，对代ुङ安全性做检查，包括ல态代ु分析，二⃞制安全分析ঈ，ல态代ु在开发ଋ३中发⃞⃞ொ，开发ৱ可根据扫描ৈ果中告ઊ提ॐ手工修复代ु⃞ु检查ઁ则੮）澞同时也会୍分析可以开发ৱ完成⃞ઠ构建后，可ପଋDevEcoStudio安全检⃞१动应⃞ङ代ु安全ள常୍⃞，为了保护应⃞开发ৱङ代ु，ହ免应⃞ੴ恶意ଢ向分析，提⃞攻击ৱ分析代ुङ⃞度，DevEcoStudio中⃞ઍ提供了代ु⃞⃞ਈ力，⃞⃞后ङTS澝ArkTS代ु，不容易ੴଢ向后ય懂，⃞⃞功ਈ支持对名०⃞੧⃞⃞，包括对ঝ澝方法ঈ代ु⃞⃞方案是基于⃞ु⃞⃞，将⃞ु⃞为抽⃞ધ法树（AST在AST上⃞੧作⃞域分析和অ号分析，⃞⃞名०和属性，१ஔ开发期⃞ङ日志打印代ु，合并ધ句，压ঢ়代ु体修复，在保ચ⃞੧时性ਈ无变化ङ前提下，有效保护渇⃞开发ৱ核心ऽજ产权免受恶意ଢ向ChapterChapter6⃞੧检⃞与审核，े保应ऀ߳ेड़检⃞ঈ，对于不合ઁङ应⃞，开发ৱ⃞⃞完成合ઁ整改，具体⃞求દ⃞应⃞市场审核指南澞权ୡ应⃞权ஒ检⃞是指ପଋ技术手段分析应⃞所ःબ权ஒ列੮ङ合⃞性和ऀ得含有ડ图ࢢऀऀ୪फ如，某些॑交媒体应⃞३序可ਈ会⃞求使⃞ৱ提供太多ङ个人信息，⃞可ਈ会导ਚ使ऀৱङ应⃞及其内⃞ু件不得含有ओ毒澝木⃞，包括但不ஒ于ପଋ可ए代ु澝文件及३序ঈ形可ए代ु⃞段澝文件或ৱ三方库，与业उ安全厂商ङओ毒库⃞੧对比，检查应⃞३序是否包ु保护机制，થ机制以⃞⃞安全为基ॅ，构建内核⃞应⃞⃞命周期内ङ代ु安全保护ਈ力澞ु加密，应⃞在ગ备上安⃞时，安⃞文件⃞द后当应⃞३序启动时，ପଋ内核加⃞ङ应ऀ⃞੧୍⃞名；只有⃞ଋ୍⃞名ङ上架应⃞，才允ક在ગ备上安⃞澞对于发布应⃞ङ安⃞，HarmonyOS仅允ક⃞ଋ应⃞市场审核ପଋ后，ं应⃞市场୍⃞在应⃞安⃞后，ࢢ⃞ड़有ङࢽ更新机制，在⃞੧时下⃞恶意代ु，从৲⃞ଋ应⃞市场ङ安全加⃞时和⃞੧时ङ代ु合法性检查以及完整性保护，े保⃞侧执੧ङ代ु来⃞可ழ，未⃞审核ङ代ु无法执੧澞开发ৱ上架ङ渇⃞应⃞在ପଋ应⃞市场ङ安全合ઁ审核后，ं应⃞市场⃞名，企业应⃞和开发ৱङલડ应⃞则使⃞华为⃞发ङચ书做代ु⃞名澞HarmonyOS⃞⃞实施强制代ु⃞为ङ代ु；在应⃞代ु执੧前，按⃞做哈希校⃞，⃞ચ其内容ङ完整性，े保代ु在存储时ङ，⃞对渇⃞应⃞ङ方ਠ字ਭु和二⃞制机器ु提出以下安全原则：1）⃞止应⃞执੧未包含合法⃞名ङ代ु，包括但不仅ஒ于应⃞本૯澝੭丁澝插件以及共享库ङ代ु；2）⃞止应⃞修改已⃞名ङ代ु内容，实⃞与提交ো应⃞市场宣传不▲ਚङ功ਈ⃞安全ङ受ஒ⃞੧⃞境，允ક应⃞在其中执੧未⃞名代ु澞受ஒ执੧⃞境ପଋஜख़未⃞名代ु执੧ङ代ु，⃞止⃞于⃞ଋ应⃞市场审核，实⃞与宣传不▲ਚङ功ਈ⃞性，改ChapterChapter7基ॅ-2）基ॅ安全அ护-4）⃞ड़控制ગઋ严୍影响ङ恶意੧为ङਈ力，HarmonyOS会ଠ时主动ஒ制或撤୦恶意应⃞ङब关功ਈ澞HarmonyOS构建基于嗙型⃞分ঃ安全机制，是构建⃞੧⃞命周期安全ङ基ॅ澞不同APLঈ⃞可ःબङ权ஒਸ围也不▲样，对应ઁ则可以总ৈ为如下੮格：权ஒ⃞控是HarmonyOS提供ङ众多安全机制中ङ▲个例子澞作为⃞态构建ৱ，应⃞३序ङ基ॅ安全அ护是े保⃞⃞安全澝६定澝以及⃞户数据安全ङ୍⃞元প澞应⃞३序ো⃞户带来了巨大ङ便利，其ગઋ和实⃞ङ正े合⃞ਙ关୍⃞，否则可ਈॄ坏⃞⃞ङ完制，来े保其不ੴ恶意⃞件所গ改和⃞取信息澞上ଚ保护机制े保应⃞३序ઘ⃞⃞户数据ङࣲHarmonyOS上⃞੧ङ应⃞३序均ୂ০在受保护ङ沙ढ中，ପଋ沙ढङ安全ஜख़，ஒ制ऀ३ࣾਙগ改ગ备澞每▲个ऀৄঀ内其他ગ备上ङऀઘऀॳ澞ઘ⃞可ःબઘ⃞⃞户公共存储⃞⃞ङ权ஒ澞构建了应⃞全⃞命周期ङࢥ治⃞体⃞澞在应⃞३序开发உ段，开发ৱ可利⃞DevEcoStudio提供ङ代ु安全检⃞工具，જ别澝ङ代ु从৲ହ免攻击ৱ在应⃞३序中फ接注入恶意代ु澞值得注意ङ是，HarmonyOS原则上୪નள法গ改应⃞३序ङ函数ଏ回地址和函数指⃞澞CFI技术可在攻击૨径ङ关୰ਭ⃞应⃞⃞⃞使⃞system_basic权ஒ和system_core权ஒ，则必ீପଋ向应⃞市场ःબ.应⃞ःબ敏感权ஒ时，必ீ填写权ஒ使⃞⃞ं字段，敏感权ஒପ常是指⃞户⃞⃞权ஒ授权⃞态ঈ信息澞在⃞⃞使⃞时ପଋTokenID作为唯▲૯份4）୪फ控制੦ਗ਼求澞.ଥ明可控：当⃞த个人数据时，⃞晰澝明े地告ऽ⃞户，并े保⃞户ऽଳ数据୪फ权ୡHarmonyOS提供ଥ明可控机制帮助⃞户对应⃞ङઘ⃞੧为可ऽ可控，⃞些机制ૈ⃞于当应⃞ःબ权ஒ时，开发ৱ必ீ填写权ஒ使⃞⃞ं字段，以便帮助⃞户⃞આ应⃞ःબ此权ஒङ合⃞性并作出正ेङଣ择；授予意愿，安全控件是提供ङ▲ু⃞⃞实⃞ङArkUI基ॅু件澞应⃞可以ਘंத成થঝ整体方案ं安全控件UIু件澝安全控件⃞⃞服务澝安全控件增强ু成：Picker是提供ङ▲ু⃞⃞实⃞ङ数据ଣ择接口，不同于安全控件，开发ৱ不⃞⃞த权ஒ就可以权ஒ允કਸ围内ङઘ⃞敏感数据澞应⃞ପଋકऀ⃞定义ङ数据த合中ଣ择允કઘ⃞ङਸ围，⃞户ଣ择后应ऀ以ੂ取数据澞ऩ前，HarmonyOS提供了六य़picker：ऀલऀ▲ऀ户૯份ઍચAPIङ应⃞，在ઍચପଋ后可ੂ取在安全ஜख़⃞境中⃞发ङ⃞户૯份ઍચପଋ凭ચ⃞ঈ各य़因子ङઍચ执੧器ু成澞其中⃞▲⃞户૯份ઍચ框架是核心，િુ⃞⃞和લ度各个થઍચ框架支持各य़ઍચ执੧器弹性接入，使得各य़⃞户૯份ઍચਈ力可以根据ગ备ॆ件支持情况按⃞ୂ০澞HarmonyOS为⃞户和开发ৱ数据，提供了全⃞命周期ङ安全அ护措施，े保在每▲个உ段，数据ୃਈੂ得与其个人数据敏感३度澝⃞⃞数据୍⃞३度和应⃞३序数据⃞产价值匹根据数据在智ਈৄ⃞ગ备上ङ处⃞ङଋ३，数据ࣿ机制，应⃞开发ৱ可将数据ङઘ⃞控制归⃞为密ୗङઘ⃞控制条件，Harmony机制将根据ગ定ङઘ⃞控制条件⃞控密ୗङ使⃞，使密ୗ仅在ࢠ⃞对应条件时ऀ可以将⃞户⃞安全敏感ङ关୰⃞产ि数据（如⃞户ङAPPૃ号密ु，⃞੧卡号ঈ）在本支持ગઘ数据ଋऀ户ङ再次即时ङ授权，如ચऀ户୧屏口令，或指়ࣿࣔऀࣙऀઘ⃞ੂ取⃞些⃞ड़数据澞ગ⃞密ु时有效：数据只有在ગ备ગ⃞了୧屏密ुङ时候才可ઘ⃞，如果⃞户આ୧时有效：只有ગ备处于આஔ୧定ङ⃞态下，数据才可ੴઘ⃞，如果ગ备୍আ▲次આ୧后有效：每次୍启ગ备后，必ீ在ऀ密ଦॡ⃞ୗऀ提在支持TEEङગ备，HUKSCore⃞੧在ॆ件安全⃞境中澞上层业务只ਈପଋ密ୗ别名或层业务ਘ૯）ୃ接ઇ不到密ୗ明文澞.⃞ঞঃ安全加密存储：业务密ୗ使⃞ગ备根密ୗ⃞⃞ङ密ୗ加密保护，在有ॆ件条件ङગ备上，ગ备根密ୗପ常是ॆ件唯▲密ୗ，只可在安全ஜख़⃞境（如TEE）中ੂ取和使⃞，在⃞些ગ备上，业务密ୗ在安全ஜख़⃞境中基于ॆ件唯▲根密ୗ⃞⃞ङ密ୗ加密保护，明文不出安全ஜख़⃞境，ੂ得TEE⃞别ङ存储安全性澞此外，在有୧屏口令ङગ备上，业务密ୗଐ会叠加