1、保障開(kāi)放平臺(tái)能力接入安全

　　（1）為了避免攻擊者偽造應(yīng)用接入開(kāi)放平臺(tái)，造成運(yùn)營(yíng)商及能力提供商的資源濫用，以及對(duì)開(kāi)發(fā)者的非法計(jì)費(fèi)，需要在能力調(diào)用過(guò)程中對(duì)應(yīng)用的身份進(jìn)行認(rèn)證。建議采用Token機(jī)制實(shí)現(xiàn)應(yīng)用身份認(rèn)證：在每次能力調(diào)用時(shí)，安全模塊需要對(duì)能力調(diào)用過(guò)程中的URL與APPKEY進(jìn)行檢查，以防止APPKEY被濫用、重用。終端應(yīng)用、Web應(yīng)用均采用開(kāi)發(fā)階段預(yù)置在應(yīng)用中的APPKEY生成TerToken和WebToken，開(kāi)放平臺(tái)通過(guò)同樣的機(jī)制對(duì)接收的TerToken和WebToken進(jìn)行驗(yàn)證、判斷應(yīng)用身份的合法性，每次請(qǐng)求的Token都不同。

　　（2）為了避免合法應(yīng)用濫用未授權(quán)或未購(gòu)買(mǎi)的能力，需要對(duì)應(yīng)用調(diào)用能力的權(quán)限進(jìn)行驗(yàn)證。

　　（3）為了實(shí)現(xiàn)對(duì)用戶(hù)的計(jì)費(fèi)及開(kāi)發(fā)者的計(jì)費(fèi)，需要對(duì)用戶(hù)賬戶(hù)及開(kāi)發(fā)者子賬戶(hù)進(jìn)行驗(yàn)證。

　　（4）為了避免用戶(hù)遭受未授權(quán)應(yīng)用的騷擾，實(shí)現(xiàn)用戶(hù)隱私保護(hù)，需要對(duì)用戶(hù)與應(yīng)用的訂購(gòu)關(guān)系進(jìn)行驗(yàn)證。

　　（5）為了防止應(yīng)用在運(yùn)行中被攻擊者惡意篡改，當(dāng)用戶(hù)執(zhí)行非法操作或破壞計(jì)費(fèi)時(shí)，需要對(duì)應(yīng)用的完整性進(jìn)行保護(hù)。應(yīng)用可以在本地采用MAC指紋方式實(shí)現(xiàn)對(duì)運(yùn)行程序完整性的驗(yàn)證，禁止經(jīng)過(guò)篡改的應(yīng)用執(zhí)行任何操作。

　　MAC指紋生成：在終端應(yīng)用通過(guò)測(cè)試審核之后，安全模塊中的完整性管理工具可自動(dòng)計(jì)算出終端應(yīng)用模塊，以及終端能力SDK的MAC指紋。

　　MAC指紋安全存儲(chǔ)：完整性管理工具自動(dòng)將MAC指紋安全存儲(chǔ)（如加密存儲(chǔ)、離散存儲(chǔ)、代碼混淆、安全算法轉(zhuǎn)換）到新建的終端應(yīng)用安全組件中，并對(duì)新建的安全組件進(jìn)行安全加固（加固需求見(jiàn)下文中說(shuō)明），MAC指紋在任何情況下均不允許被非法竄改。

　　安全組件置換：完整性管理工具可自動(dòng)將開(kāi)發(fā)者在開(kāi)發(fā)階段所使用安全組件替換成安全存儲(chǔ)了MAC指紋并進(jìn)行了安全加固了的新建的終端應(yīng)用安全組件，并將應(yīng)用重新打包并輸出。

　　2、保障平臺(tái)與外部平臺(tái)之間協(xié)議與接口安全

　　（1）制定并實(shí)施平臺(tái)與外部平臺(tái)接口之間的安全管控措施。

　　（2）技術(shù)實(shí)現(xiàn)需要符合協(xié)議操作規(guī)范（公有和私有協(xié)議，應(yīng)注釋協(xié)議實(shí)現(xiàn)功能及各接口傳遞參數(shù)的含義），核實(shí)是否對(duì)協(xié)議與接口進(jìn)行過(guò)安全測(cè)試。

　　（3）對(duì)相關(guān)代碼進(jìn)行安全審計(jì)。

　　（4）現(xiàn)場(chǎng)測(cè)試時(shí)至少采用以下方式驗(yàn)證上述各點(diǎn)，是否還存在其他安全問(wèn)題。

　　·代碼安全審計(jì)；

　　·接口是否可對(duì)輸入來(lái)源進(jìn)行白/黑名單判斷。

　　接口需要對(duì)設(shè)計(jì)范圍以外的非正常參數(shù)進(jìn)行過(guò)濾，并提供統(tǒng)一的、不泄露內(nèi)部敏感信息的提示。

　　3、保障能力接囗調(diào)用安全

　　（1）定期梳理業(yè)務(wù)流程，篩查存在接口調(diào)用的業(yè)務(wù)操作，如發(fā)送短息、彩信等。

　　（2）梳理平臺(tái)全部能力調(diào)用接口，確保沒(méi)有接口能夠成功實(shí)施違規(guī)調(diào)用操作。

　　·對(duì)于GET型提交的接口調(diào)用，可直接在瀏覽器輸入中對(duì)相關(guān)參數(shù)進(jìn)行修改和測(cè)試；

　　·對(duì)于POST型提交的接口調(diào)用，可在頁(yè)面上直接輸入或借助特定工具抓包對(duì)相關(guān)參數(shù)進(jìn)行修改和測(cè)試。

　　（3）梳理對(duì)能力開(kāi)放接口進(jìn)行調(diào)用的業(yè)務(wù)操作，確保針對(duì)這些業(yè)務(wù)操作具備一定安全防護(hù)措施，如動(dòng)態(tài)短信確認(rèn)、權(quán)限限制（即需登錄后調(diào)用接口）等。

　　4、接口對(duì)提交數(shù)據(jù)進(jìn)行合法性校驗(yàn)和有效性驗(yàn)證

　　（1）梳理業(yè)務(wù)流程，篩查存在接口調(diào)用的業(yè)務(wù)操作，如二維碼自制提交、頭像提交等。

　　（2）測(cè)試非法內(nèi)容的提交處理。

　　·進(jìn)入提交頁(yè)面，將提交的內(nèi)容修改為非法或無(wú)效的，例如，在提交涉黃、涉政治等非法內(nèi)容時(shí)可將提交內(nèi)容修改為無(wú)效內(nèi)容等；

　　·將修改后的內(nèi)容進(jìn)行提交；

　　·接口應(yīng)能夠?qū)Ψ欠ǖ膬?nèi)容進(jìn)行過(guò)濾或提示，也可以對(duì)無(wú)效內(nèi)容進(jìn)行自動(dòng)更新或提示。

　　（3）接口對(duì)非法或無(wú)效內(nèi)容應(yīng)具有一定的防護(hù)和過(guò)濾機(jī)制；同時(shí)，應(yīng)當(dāng)核實(shí)是否可以通過(guò)一定的技術(shù)手段繞過(guò)接口防護(hù)和過(guò)濾機(jī)制，如編碼等，即核實(shí)安全防護(hù)機(jī)制的安全性。

　　5、本地API的安全保護(hù)

　　客戶(hù)端應(yīng)用需要保護(hù)本地API在調(diào)用過(guò)程中的完整性，以及一些安全相關(guān)API的機(jī)密性。本地API的安全保護(hù)可通過(guò)加密處理、輸入/輸出口轉(zhuǎn)移、安全算法轉(zhuǎn)換、敏感信息轉(zhuǎn)換等機(jī)制，以保障不同組件之間的調(diào)用安全。

　　6、安全能力更新機(jī)制及其他安全加固需要

　　當(dāng)平臺(tái)監(jiān)測(cè)到客戶(hù)端應(yīng)用安全模塊被攻擊后，可及時(shí)通過(guò)安全能力更新機(jī)制更新客戶(hù)端應(yīng)用中的安全組件相關(guān)算法或密鑰，或通過(guò)平臺(tái)安全策略禁止被攻擊后的客戶(hù)端訪問(wèn)開(kāi)放平臺(tái)能力，以確保業(yè)務(wù)平臺(tái)能力僅被合法使用；同時(shí)還需要解決可能出現(xiàn)的針對(duì)其他攻擊方法的安全加固需求。