MIUI12隱私技術(shù)白皮書

MIUI12安全與隱私白皮 1MIUIMIUI12安全與隱私白皮概 硬件與系統(tǒng)安 硬件可信環(huán) 安全啟 安全內(nèi) 網(wǎng)絡(luò)與通信安 設(shè)備控 系統(tǒng)軟件更 加密與數(shù)據(jù)安 數(shù)據(jù)保護(hù)架 密鑰管 加密應(yīng) 應(yīng)用安全與隱私保 應(yīng)用安全保 應(yīng)用安全功 隱私保 互聯(lián)網(wǎng)服務(wù)安 小米帳 小米云服 小米支付（Mi 小愛同 圖像智 位置服 小米推 安全認(rèn)證與隱私政 結(jié)束 略縮語定義 進(jìn)行增加、修改、刪節(jié)、廢止，請及時在官方網(wǎng)站下載最新版本。本文檔僅作為用戶了解MIUI及小米云服務(wù)的信息安全與隱私保護(hù)的參考性指引。小米基于當(dāng)前的MIUI版本和主要使用的硬件架構(gòu)，盡力提供相應(yīng)的介紹。但由于技術(shù)升級、產(chǎn)品迭代、適用法律法不作任何明示或暗示的保證。本文檔中所有小米原創(chuàng)的內(nèi)容，包括但不限于圖片、架構(gòu)設(shè)計(jì)、文字描述等均由小米公司及其關(guān)聯(lián)公司（以下簡稱“小米”）得擅自摘抄、翻譯、復(fù)制本文檔內(nèi)容的部分或全部。如若發(fā)現(xiàn)本文檔存在任何錯誤或?qū)Ρ疚臋n內(nèi)容存在任何疑問，請通過security@郵MIUIMIUI12安全與隱私白皮小米公司作為全球領(lǐng)先的智能手機(jī)制造商，以始終堅(jiān)持做“感動人心、價格厚道”的好產(chǎn)品，讓產(chǎn)品的基本需求，因此，小米將用戶的安全與隱私問題放在首位。MIUI以安全性和易用性為核心，軟件、硬件和服務(wù)在每臺小米手機(jī)上緊密集成、協(xié)也包括帳號、支付、云服務(wù)、語音AI、圖像AI等一系列關(guān)鍵服務(wù)的信息安全與隱私保護(hù)。本文秉承客觀透明的原則，詳細(xì)介紹了MIUI全與隱私保護(hù)方面的體系架構(gòu)和實(shí)現(xiàn)方式。MIUI的安全性技術(shù)源于構(gòu)建自硬件的安全根，通過安全啟動將可信鏈傳遞到操作系統(tǒng)；通過使ndoidMIUI安全與隱私白皮書的邏輯結(jié)構(gòu)，本文將依據(jù)該結(jié)構(gòu)展開。圖1-1白皮書邏輯結(jié)小米手機(jī)是安全的一體化軟硬件平臺包括由硬件構(gòu)建的可信環(huán)境安全內(nèi)核、網(wǎng)絡(luò)與通信安全、設(shè)備控制及系統(tǒng)軟件更新。加密與數(shù)據(jù)安全：基于MIUI設(shè)計(jì)的數(shù)據(jù)保護(hù)架構(gòu)提供的加密應(yīng)用在保障用戶數(shù)據(jù)安全的同時，也提升了MIUI的易用性和便捷性。應(yīng)用安全：MIUI針對APP的基礎(chǔ)保護(hù)機(jī)制和一系列應(yīng)用安全功能，確保了手機(jī)應(yīng)用的安全運(yùn)行互聯(lián)網(wǎng)服務(wù)安全：針對運(yùn)行在MIUI上的小米主要的互聯(lián)網(wǎng)服務(wù)小米采取了最大程度的保護(hù)措施，小米在信息安全與隱私保護(hù)方面的總體原則組織架構(gòu)隱私政策以及持續(xù)改進(jìn)機(jī)制。Hardwareandsystem硬件與系統(tǒng)安全是應(yīng)用和數(shù)據(jù)安全的基礎(chǔ)MIUI的整體安全提供底層框架包括硬件可信環(huán)境、MIUI通過硬件、系統(tǒng)和服務(wù)的緊密集成，確保從初始啟動到系統(tǒng)軟件更新，再到應(yīng)用程序的每個可信執(zhí)行環(huán)境MIUITEE（TrustedExecutionEnvironment，信執(zhí)行環(huán)境）安全操作系統(tǒng)。TEE構(gòu)建一個隔離于主操作系統(tǒng)的小型操作系統(tǒng)，讓具有安全、隱私訴求的應(yīng)用隔離于Android圖2-1TEE所能訪問的軟硬件資源是與主操作系統(tǒng)分離的，TEE提供了可信應(yīng)用的安全執(zhí)行環(huán)境，同時全啟動過程中需要通過驗(yàn)證并且與主操作系統(tǒng)隔離。在TEE中，每個可信應(yīng)用是相互獨(dú)立的，而且在未授權(quán)的情況下不能互相訪問。TEE內(nèi)部API主要包含了密鑰管理、密碼算法、安全存儲、安全時鐘等資源服務(wù)，以及擴(kuò)展的可信UI等?？煽尚臮I是指在關(guān)鍵信息的顯示和用戶關(guān)鍵數(shù)據(jù)（如口令）輸入時，屏幕顯示和鍵盤等硬件資源完全由TEE控制和訪問，Android系統(tǒng)中的軟件不能訪問。為確保手機(jī)自身是可信的，小米手機(jī)出廠時在TEE中預(yù)置了設(shè)備證書，用于標(biāo)識該設(shè)備的身份，TEE發(fā)起驗(yàn)證，以確定該設(shè)備的真實(shí)性。設(shè)備唯一密鑰HUK（HadaeUniquey，設(shè)備唯一密鑰）出廠時固化在手機(jī)主板上，每臺手機(jī)的HUK不相同且無法被篡改，僅有硬件加密引擎可以訪問。HUK加解密操作是一個非常復(fù)雜的過程，需要強(qiáng)大的計(jì)算能力。但對于移動設(shè)備而言，速度、節(jié)能和安全都至關(guān)重要。小米手機(jī)在設(shè)計(jì)時充分考慮了這些因素，為設(shè)備搭載了高性能的硬件加密引擎確保設(shè)備在運(yùn)行速度、電池續(xù)航和數(shù)據(jù)安全等多個方面達(dá)到平衡。加密引擎支持的主要算法有：SHA-1、SHA-HMAC-SHA1、HMAC-RSA-1024、RSA-ECDSA-*注：部分機(jī)型未搭載硬件加密引擎安全啟動是在系統(tǒng)啟動過程中，通過簽名公鑰驗(yàn)證文件或程序的數(shù)據(jù)簽名，確保啟動文件或程的完整和可信，以防止在啟動過程中加載并運(yùn)行了未經(jīng)授權(quán)的程序。在安全啟動機(jī)制下，所有啟動文件（如：啟動引導(dǎo)程序、內(nèi)核鏡像、基帶固件）任何階段，如果簽名驗(yàn)證失敗，則啟動過程會被終止。片內(nèi)引導(dǎo)程序（ROMSoCBootloader）是在芯片制造時被寫入芯片內(nèi)部只讀ROM設(shè)備上電，PCBootROM地址并執(zhí)行。BootROM外部存儲設(shè)備加載、驗(yàn)證一級Bootloader并跳轉(zhuǎn)執(zhí)行。一級Bootloader加載TEEOS鏡像文件一級Bootloader加載二級Bootloader，并由TEEOS校驗(yàn)。二級Bootloader校驗(yàn)并加載內(nèi)核文件內(nèi)核程序校驗(yàn)并加載MIUI系統(tǒng)2-2MIUI安全啟動過設(shè)備上電后，片內(nèi)引導(dǎo)程序執(zhí)行基本的系統(tǒng)初始化，從Flsh存儲芯片中加載一級引導(dǎo)程序，并Fse一級引導(dǎo)程序。隨后，一級引導(dǎo)程序加載、校驗(yàn)和執(zhí)行TEEOS鏡像，TEEOS運(yùn)行起來后，由TEEOS和一級引導(dǎo)程序共同校驗(yàn)、加載和執(zhí)行二級引導(dǎo)程序。以此類推，直到整個系統(tǒng)啟動完成，從而保證啟動過程的信任鏈傳遞，防止未授權(quán)程序被惡意加載運(yùn)行。MIUIndoidrifiedBot2.0（VB2.0）從受硬件保護(hù)的信任根到引導(dǎo)加載程序，再到啟動分區(qū)和其他已驗(yàn)證分區(qū)（包括em、enorOEM分區(qū)），無論是在哪個階段，都會在進(jìn)入下一個階段之前通過加密認(rèn)證方式驗(yàn)證代碼可靠且沒有任何已知的安全缺陷之后才會執(zhí)行。VBottOT權(quán)限危害設(shè)備，可確保設(shè)備在啟動過程中的安全性。MIUIndoidSELinux特性，對系統(tǒng)中的進(jìn)程、文件、目錄等所有資源的操作均實(shí)施強(qiáng)制訪問控制SELinux而訪問控制的策略在設(shè)備啟動過程中會被保護(hù)起來，無法被第三方更改。通過SELinux，MIUIMIUI支持KSL（relddssSaeLoutanomition內(nèi)核地址空間布局隨機(jī)化，在每次系統(tǒng)啟動時，MIUI都對內(nèi)核的地址空間布局進(jìn)行隨機(jī)安排，內(nèi)核的地址空間布局難以預(yù)測，使代碼重用攻擊的難度被提升，降低了遭到許多復(fù)雜攻擊的可能性，進(jìn)一步提升了系統(tǒng)內(nèi)核的安全性。使用安全的網(wǎng)絡(luò)協(xié)議，可降低用戶設(shè)備連接網(wǎng)絡(luò)時數(shù)據(jù)遭受泄露、篡改的風(fēng)險。MIUI用戶可借用VPN用私有網(wǎng)絡(luò)。MIUIVPN式包括：PPTP、L2TP/IPSecPSK、L2TP/IPSecRSK、IPSecXauthPSK、IPSecXauthRSA、IPSecHybridRSA。用戶可按需選擇VPN模式，用于訪問和傳輸敏感數(shù)據(jù)。MIUI的WLAN熱點(diǎn)功能默認(rèn)關(guān)閉，當(dāng)用戶開啟時，默認(rèn)使用WPA2PSK認(rèn)證方式，保證連接安全。同時，WLAN熱點(diǎn)功能支持設(shè)置終端MAC地址黑名單。向偽基站周邊的用戶手機(jī)發(fā)送詐騙短信或垃圾短信。當(dāng)偽基站運(yùn)行時，會干擾和屏蔽一定范圍內(nèi)的運(yùn)營商信號，用戶手機(jī)信號被強(qiáng)制連接到該設(shè)備，影響用戶正常使用。*注：僅限于使用了高通芯片的小米手機(jī)支持此功能如果用戶未開啟偽基站防護(hù)功能，MIUI仍為用戶提供了偽基站短信識別功能，且該功能不依賴于芯片，適用于所有型號及版本的MIUI用戶。通過手機(jī)端的AI機(jī)器學(xué)習(xí)模型，根據(jù)偽基站接入手機(jī)的特征和偽基站短信的文本特征，判斷基站疑似程度，識別偽基站短信。MIUI針對偽基站短信的識別均在用戶手機(jī)端離線進(jìn)行。識別為偽基站短信時，MIUI會向用戶進(jìn)行提示。Wi-Fi探針防Wi-Fi探針盒子是通過監(jiān)聽空中其他電子設(shè)備發(fā)出的Wi-Fi信號，從數(shù)據(jù)包中獲取其MAC地址來識別用戶身份。MIUIMAC址發(fā)送數(shù)據(jù)包，防范Wi-FiMAC地址*。*：MIUI11Wi-Fi針防護(hù)。此外，升級到AndroidQ狀態(tài)下的Wi-Fi探針防護(hù)。MIUI為用戶提供了查找手機(jī)功能，為用戶找回丟失手機(jī)提供幫助，同時保護(hù)手機(jī)的數(shù)據(jù)安全。此功能需用戶手動開啟后才能使用啟用后在手機(jī)丟失的情況下i.mi.om）遠(yuǎn)程對丟失的設(shè)備進(jìn)行以下操作：查找定位、設(shè)備發(fā)聲、丟失鎖定和清除數(shù)據(jù)。通過網(wǎng)絡(luò)或短信指令獲取手機(jī)當(dāng)前的位置并通過地圖直觀展示通過網(wǎng)絡(luò)或短信指令使手機(jī)響鈴，用于查找可能就在附近的手機(jī)MiPay綁定的銀行卡。通過網(wǎng)絡(luò)或短信指令重置手機(jī)，同時關(guān)閉數(shù)據(jù)同步及解綁MiPay銀行卡手機(jī)鎖定/解鎖策略MIUI設(shè)計(jì)了多種安全策略來保障用戶權(quán)利。功能時所綁定的帳號密碼。后3天內(nèi)無法關(guān)閉“查找手機(jī)”功能，為丟失手機(jī)的用戶提供時間補(bǔ)辦SIM卡，重新奪取帳號和手機(jī)的控制權(quán)。在用戶忘記了小米帳號密碼且無法找回的情況下，MIUI服進(jìn)行詳細(xì)的人工審核后方可解鎖。此外，當(dāng)手機(jī)丟失后，由于鎖屏密碼的存在，很大可能性會被強(qiáng)制刷機(jī)。MIUI（部分設(shè)備是將關(guān)聯(lián)狀態(tài)寫入不被刷機(jī)覆蓋的特殊分區(qū)中開機(jī)引導(dǎo)時，如果設(shè)備未聯(lián)網(wǎng)，會要求強(qiáng)制聯(lián)網(wǎng)，并從服務(wù)器獲取真實(shí)的關(guān)聯(lián)關(guān)系。如果當(dāng)前設(shè)備登錄帳號的狀態(tài)和服務(wù)器上的關(guān)聯(lián)帳號不同，MIUI會要求用戶切換回關(guān)聯(lián)帳號后才能繼續(xù)使用。BL的設(shè)備上，可以通過強(qiáng)制刷入一個非MIUIMIUI避手機(jī)鎖定。不過此類ROM法OTA（OvertheAir，空中下載），無法正常登錄小米帳號。當(dāng)刷回官方MIUI時，會再次受到“查找手機(jī)”MIUI用戶可通過手機(jī)分身創(chuàng)建一個完全獨(dú)立于原系統(tǒng)的獨(dú)立空間，實(shí)現(xiàn)用戶的帳戶、應(yīng)用和數(shù)密文件、圖片等信息，安裝私密應(yīng)用等。這個獨(dú)立空間又類似于一個“沙箱”，在這個“沙箱”內(nèi)進(jìn)行任何的操作，都不會對手機(jī)主空間造成影響。移動設(shè)備管理MDM（MobileDeviceManagement，移動設(shè)備管理）是MIUI提供給設(shè)備管理類應(yīng)用的設(shè)備保護(hù)功能，對手機(jī)設(shè)備進(jìn)行管理和操作的接口。通過MDM應(yīng)用和MIUI提供的API接口，企業(yè)IT系在系統(tǒng)內(nèi)強(qiáng)提醒用戶進(jìn)行關(guān)閉處理、禁止應(yīng)用獲取服務(wù)或權(quán)限接口。對于引導(dǎo)或提供通過設(shè)備管理器權(quán)限，對用戶的數(shù)據(jù)、設(shè)備使用安全可能產(chǎn)生危害的應(yīng)用，將嚴(yán)用在設(shè)備管理器應(yīng)用列表中顯示。MIUIAndroidOTA（OvertheAir，空中下載）機(jī)制，并在Android更安全、高效的系統(tǒng)升級管理系統(tǒng)軟件更新前，手機(jī)系統(tǒng)更新程序?qū)νㄟ^OTA下載或線下拷貝到手機(jī)存儲中的ROM進(jìn)行完模式，并再一次校驗(yàn)簽名密鑰的正確性，校驗(yàn)通過后恢復(fù)模式才會將ROM中更新內(nèi)容寫入系統(tǒng)存儲。EncryptionanddataMIUI的數(shù)據(jù)安全防護(hù)機(jī)制，在MIUI統(tǒng)分區(qū)只讀且與用戶分區(qū)隔離，普通應(yīng)用僅可訪問部分系統(tǒng)分區(qū)目錄；對于用戶分區(qū)，系統(tǒng)提供基于文件的數(shù)據(jù)加密和目錄權(quán)限管理機(jī)制，限制不同應(yīng)用間的數(shù)據(jù)訪問。同時，基于加密技術(shù)，MIUI了更多的安全功能和應(yīng)用，在保證用戶數(shù)據(jù)安全的同時提升了MIUI的便捷性和易用性。MIUIndoidFBE（Fie-sedEncption，文件級加密）功能特性，F(xiàn)BE這使得系統(tǒng)不需要把所有文件都進(jìn)行加密，以及可以針對不同用戶使用不同的密鑰進(jìn)行區(qū)分。文件級的數(shù)據(jù)加密，可以防止未經(jīng)授權(quán)用戶對設(shè)備實(shí)施物理攻擊（如：直接讀取Flsh）獲取用戶數(shù)據(jù)，為用戶數(shù)據(jù)提供更好的安全性保障。在MIUI文件加密使用的密鑰由ClassKey封裝而來ClassKey受到由設(shè)備唯一密（HUK）派生的KeymasterKey進(jìn)行加密保護(hù)，而且在使用ClassKey解密數(shù)據(jù)之前，需要用戶通過鎖屏密使用KeymasterKeyClass系統(tǒng)啟動時，對每個ClassKey生成出一個Wrapped-classKey，使用Wrapped-classKey防止ClassKey明文暴于Android環(huán)境；使用Wrapped-classKey加密保護(hù)FileFileKeyFile圖3-1文件級加密過程*注：本示意圖適用于采用高通芯片并支持FBE的小米手在每一臺支持FBE的小米手機(jī)上，每位用戶均有兩個可供應(yīng)用使用的存儲位置憑據(jù)加密（CE）設(shè)備加密（DE）存儲空間：在開機(jī)未解鎖期間以及用戶解鎖設(shè)備后均可用MIUI中應(yīng)用程序默認(rèn)保存數(shù)據(jù)的位置是憑據(jù)加密（CE）存儲空間，以保證應(yīng)用及應(yīng)用數(shù)據(jù)的安全。僅有像無線認(rèn)證、鬧鐘、鈴聲、藍(lán)牙等應(yīng)用將部分?jǐn)?shù)據(jù)保存在設(shè)備加密（DE）存儲空間，保障一些必MIUITEE供的安全文件系統(tǒng)（SecureFileSystem，SFS）實(shí)現(xiàn)，用于安全存儲密鑰、證書、指紋模板等敏感信息。TEE中運(yùn)行的TA（TrustedApplication，可信應(yīng)用）通過安全存儲的API來加密并存儲數(shù)據(jù)，加密后的數(shù)據(jù)只有TA能夠訪問，外部應(yīng)用無法訪問。MIUITEE，經(jīng)密鑰加密過的數(shù)據(jù)TEE部無法解密。MIUI進(jìn)一步提供了基于Flash的RPMB（ReplayProtectedMemoryBlock，重放保護(hù)內(nèi)存塊）分區(qū)功能來保護(hù)某些系統(tǒng)數(shù)據(jù)不會被非法刪除和訪問。RPMBTEE接進(jìn)行安全管理，采用設(shè)備唯一密鑰（HUK）派生的密鑰進(jìn)行綁定，只有TEERPMB區(qū)保護(hù)的內(nèi)容，外部Android側(cè)不提供訪問的接口。RPMB通過內(nèi)置的計(jì)數(shù)器和密鑰、HMAC校驗(yàn)機(jī)制來防止重放攻擊，確保數(shù)據(jù)是通過刪除邏輯地址的方式實(shí)現(xiàn)，但是實(shí)際存儲的物理地址空間并沒有清除，導(dǎo)致數(shù)據(jù)可以被恢復(fù)回來。MIUI為用戶提供了在設(shè)備恢復(fù)出廠設(shè)置時可選擇“格式化模擬SD卡”選項(xiàng)，當(dāng)用戶選擇“格式SD的數(shù)據(jù)安全。MIUI的密鑰管理功能主要用于管理應(yīng)用開發(fā)者所使用的密鑰和證書的全生命周期，同時為TEEMIUI的密鑰管理提供由硬件保護(hù)的密鑰存儲機(jī)制，應(yīng)用生成的密鑰是經(jīng)過加密的，只有對應(yīng)的TEE，只有在對應(yīng)設(shè)備的TEE才能使用密鑰進(jìn)行加密與解密操作。Google司頒發(fā)的證書，任何生成的密鑰都可以使用Google的證書進(jìn)行校驗(yàn)。使用密鑰認(rèn)證功能，網(wǎng)絡(luò)服務(wù)可以對MIUI設(shè)備進(jìn)行認(rèn)證。MIUI的密鑰管理的技術(shù)基礎(chǔ)是AndroidKeystore，它通過密鑰提取防范和密鑰使用授權(quán)等措施，1）提取防MIUI設(shè)備之外以未經(jīng)授權(quán)的方式使用密鑰材料，通過ndoidoe進(jìn)程。因此，即使應(yīng)用進(jìn)程遭受攻擊，攻擊者也無法提取密鑰材料。同時，MIUI還將密鑰材料綁定到小米設(shè)備可信執(zhí)行環(huán)境的安全硬件，使其不會暴露于安全硬件之外。即使MIUI定安全硬件的密鑰材料。2）密鑰使用授MIUI設(shè)備上以未經(jīng)授權(quán)的方式使用密鑰，在生成或?qū)朊荑€時，ndoidoe會讓應(yīng)用指定密鑰的授權(quán)使用方式一旦生成或?qū)朊荑€其授權(quán)將無法更改ndoidoe強(qiáng)制執(zhí)行授權(quán)。MIUI支持的密鑰使用授權(quán)分為以下幾類：加密：授權(quán)密鑰算法、運(yùn)算或目的（加密、解密、簽署、驗(yàn)證）密鑰搭配使用的摘要；時間有效性間隔：密鑰獲得使用授權(quán)的時間間隔用戶身份驗(yàn)證：密鑰只能在用戶最近進(jìn)行身份驗(yàn)證時使用支付、隱私內(nèi)容保護(hù)等需要強(qiáng)認(rèn)證機(jī)制的場景。MIUI對指紋圖像預(yù)處理、指紋特征提取、指紋模板生成、錄入以及認(rèn)證等處理均在TEE中進(jìn)行，指紋數(shù)據(jù)無法傳出TEE。TEE外部的Android第三方應(yīng)用只能通過外部指紋框架發(fā)起指紋認(rèn)證和接MIUIAES-256密，加密過程通過調(diào)用Keystore實(shí)現(xiàn)，外部無法獲取到密指紋的密鑰，保證用戶的指紋數(shù)據(jù)不會泄露。MIUI不會將指紋模板數(shù)據(jù)發(fā)送或備份到包括云端服3-2指紋安全框人臉識別，是基于人的臉部特征信息進(jìn)行身份識別的一種生物識別技術(shù)。MIUI基于AI人臉識別用戶的臉部特征信息屬于個人敏感信息中的個人生物識別信息，為保證安全，MIUI對人臉圖像的采集、特征提取、特征比對等處理完全在TEE環(huán)境中進(jìn)行，人臉特征數(shù)據(jù)無法傳出TEE。TEE外部的Android第三方應(yīng)用只能通過外部人臉識別框架發(fā)起人臉認(rèn)證和接受認(rèn)證結(jié)果，無法收集人臉特不會泄露。MIUI也不會將人臉特征數(shù)據(jù)發(fā)送或備份到包括云端服務(wù)器在內(nèi)的任何外部存儲介質(zhì)?！癳IDeID理器、安全存儲單元和密碼運(yùn)算協(xié)處理器；只能運(yùn)行專用安全芯片操作系統(tǒng)。eIDeSE中，只有特定程序才能訪問。開通eID時，安全芯片內(nèi)部采用非對稱密鑰算法生成一組公私鑰對用于簽名認(rèn)證，確保eID無法被非法讀取、復(fù)制、篡改和使用，用戶可以更安全地使用網(wǎng)絡(luò)數(shù)字身份服務(wù)。MIUI的手機(jī)錢包客戶端支持eID的全生命周期管理，用戶可以隨時在手機(jī)上開通、下載、使用和注銷個人eID。*注：僅部分機(jī)型支持此功能MIUI鎖屏密碼支持繪制圖案、數(shù)字密碼和混合密碼三種方式，每一種方式均有最低密碼長度要繪制圖案：至少需要連接4個點(diǎn)數(shù)字密碼：支持4~16位長度的數(shù)字密碼混合密碼：支持4~16位的任意大小寫字母、數(shù)字以及符號的組合MIUI的鎖屏密碼通過設(shè)備唯一密鑰（HUK）進(jìn)行保護(hù)，在TEE中進(jìn)行加密。在用戶創(chuàng)建、修改鎖屏密碼，或驗(yàn)證鎖屏密碼進(jìn)行解鎖時，這些密碼的處理都在TEE境中進(jìn)行。MIUI對鎖屏密碼輸入錯誤的次數(shù)進(jìn)行限制，連續(xù)多次輸入錯誤的密碼后，手機(jī)將被鎖定，防止鎖隨著內(nèi)置帳號體系應(yīng)用的增加，用戶為手機(jī)各個應(yīng)用設(shè)置不同的高強(qiáng)度的密碼越來越困難，易于發(fā)生忘記用戶名和密碼的情況*是MIUI它可以將手機(jī)應(yīng)用的登錄信息（用戶名和密碼）集中保存，同時也可以與觸摸指紋、鎖屏密碼關(guān)聯(lián)，在用戶登錄應(yīng)用時自動填充登錄信息，讓使用強(qiáng)密碼變得容易。小米智能密碼管理也是基于Keystore技術(shù)實(shí)現(xiàn)，提供了硬件級加密能力，對用戶托管的應(yīng)用登錄信息進(jìn)行了高強(qiáng)度加密且僅允許在TEE中使用。因此，除了用戶自己可以通過指紋和密碼訪問外，托管的密碼庫會被竊取或破解。*注：僅國內(nèi)機(jī)型支持此功能Applicationsecurityandprivacy在MIUI的底層硬件安全與系統(tǒng)安全框架以及MIUI提供的數(shù)據(jù)安全防護(hù)機(jī)制基礎(chǔ)之上，通過應(yīng)與此同時，MIUI一步提供了一系列的安全功能供用戶選擇使用，從而實(shí)現(xiàn)更進(jìn)一步的數(shù)據(jù)安MIUI會對應(yīng)用包的完整性和來源官方性進(jìn)行驗(yàn)證，以鑰驗(yàn)證應(yīng)用包未被更改。才被允許升級，以防止惡意應(yīng)用程序取代現(xiàn)有應(yīng)用程序。APPID用于驗(yàn)證簽名的證書使用官方的私鑰簽名。如果A對B開發(fā)者的應(yīng)用包簽名，并將自己的證書文件打入應(yīng)用包，則如果A開發(fā)者將其上傳到應(yīng)用商店對授權(quán)列表、APPID系統(tǒng)服務(wù)是否一致，如果不一致，會導(dǎo)致其調(diào)用MIUI服務(wù)失敗。圖4-1MIUIndoid原生的地址空間布局隨機(jī)化（ddssSaeLoutanomition，SLR）及數(shù)據(jù)執(zhí)行保護(hù)技術(shù)（aEecutionetion，DEP）。SLRSLR上的難度。DEP機(jī)制會把內(nèi)存中的特定區(qū)域標(biāo)注為不可執(zhí)行區(qū)，以防止內(nèi)存漏洞攻擊。此外，MIUI也使用原生Android的應(yīng)用沙箱機(jī)制，確保每個應(yīng)用運(yùn)行在沙箱中且相互隔離，保小米應(yīng)用商店對每一款應(yīng)用均進(jìn)行自動測試、安全掃描和人工審核，保證應(yīng)用來源的安全在設(shè)備端MIUI為用戶提供了嵌入多種殺毒引擎的病毒查殺和應(yīng)用安裝監(jiān)控等系統(tǒng)防護(hù)檢測機(jī)制。此外手機(jī)管理“異常檢測功能還提供了ROOT耗電等異常檢測以保護(hù)應(yīng)用安全，包括以下功能檢測APP是否開啟了輔助功能、設(shè)備管理器，手機(jī)剩余內(nèi)存是否不足檢測自啟動應(yīng)用是否過多（超過5個），是否開啟了熱點(diǎn)檢測系統(tǒng)是否被ROOT，存儲空間不足5%時提示用戶無法安裝應(yīng)用全，檢測到風(fēng)險項(xiàng)時會通過彈框等交互方式提示用戶，以降低用戶的支付風(fēng)險。MIUI內(nèi)置一份支付類應(yīng)用或頁面的白名單列表，僅在用戶打開名單內(nèi)應(yīng)用或頁面時開始生效。Wi-Fi安全掃檢測Wi-Fi是否有安全風(fēng)險檢測用戶的輸入法是否為白名單中的正版安全輸入法檢測后臺進(jìn)程是否有木馬、病毒運(yùn)行檢測第三方應(yīng)用是否獲取了讀取通知類短信的權(quán)限，以避免驗(yàn)證碼泄漏*注：僅中國大陸地區(qū)提供此功能應(yīng)用鎖既可保護(hù)應(yīng)用數(shù)據(jù)安全，同時又防止應(yīng)用中的隱私信息被他人窺見MIUI“應(yīng)用管理“應(yīng)用鎖（圖案混合通過該模塊，用戶可設(shè)置在退出應(yīng)用后或是退出應(yīng)用1分鐘后鎖定，以及在鎖屏后再次打開應(yīng)用時驗(yàn)證應(yīng)用鎖。為了增加解鎖的便捷性和安全性，MIUI加了指紋生物識別解鎖機(jī)制。用戶在“設(shè)置”-“語言與輸入法”-“安全鍵盤”中設(shè)置啟用安全鍵盤，在輸入密碼時，MIUI啟用安全鍵盤。安全鍵盤不具備聯(lián)想和記憶功能，沒有聯(lián)網(wǎng)權(quán)限，禁止后臺錄屏或第三方應(yīng)用截屏，禁止第三方應(yīng)用懸浮窗覆蓋在安全鍵盤之上，確保用戶的密碼輸入安全。部部分銀行APP使用自行開發(fā)的輸入法，MIUI安全鍵盤不會生效*注：僅中國大陸地區(qū)提供此功能針對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，小米提供惡意網(wǎng)址檢測服務(wù)，基于海量網(wǎng)址類別知識庫識別惡意高吞吐率：可以支撐每天2500萬次的網(wǎng)址檢測請求低延遲：服務(wù)平均響應(yīng)時間在100ms以內(nèi)檢測精度高：百萬量級標(biāo)注樣本的檢測準(zhǔn)確率在97%以上保護(hù)用戶隱私：除網(wǎng)址外不會收集其他信息*注：僅中國大陸地區(qū)提供此功能MIUI騷擾攔截能夠?yàn)橛脩籼峁┤娴姆莉}擾電話和垃圾短信攔截功能，有效攔截廣告推銷、房產(chǎn)中介等騷擾電話及垃圾短信。用戶可以快速地從“通話記錄”、“聯(lián)系人”添加號碼至黑白名單，也確的號碼黃頁信息，避免用戶受到陌生號碼的騷擾。MIUI提供多種攔截規(guī)則，用戶可以根據(jù)需要手動配置，這些配置可以備份到云端，以實(shí)現(xiàn)跨終端黑白名單：放行白名單號碼、攔截黑名單號碼黑白關(guān)鍵詞：放行包含白關(guān)鍵詞的短信、攔截包含黑關(guān)鍵詞的短信黑白名單地區(qū)：放行白名單地區(qū)、攔截黑名單地區(qū)的電話及短信未知號碼：攔截未知號碼的來電呼叫轉(zhuǎn)移：攔截呼叫轉(zhuǎn)移的來電海外號碼：攔截海外號碼的來電智能攔截：通過黃頁數(shù)據(jù)庫及攔截引擎進(jìn)行騷擾電話和短信的過濾*注：僅中國大陸地區(qū)提供黑名單地區(qū)、呼叫轉(zhuǎn)移、海外號碼功能；僅中國大陸地區(qū)及印度地區(qū)提供智能攔截功能第三方開發(fā)者將無法再獲取不可重置的設(shè)備標(biāo)識符。OAID用戶可以通過“設(shè)置”-“隱私保護(hù)”-“管理”-“特殊應(yīng)用權(quán)限”-“虛擬身份管理”自行開啟、關(guān)閉和重置OAID。*注：僅中國大陸地區(qū)提供此功能Android原生系統(tǒng)為應(yīng)用提供了動態(tài)權(quán)限管理機(jī)制，旨在限制敏感操作，保護(hù)用戶個人數(shù)據(jù)。應(yīng)在此基礎(chǔ)上，MIUI進(jìn)一步細(xì)化權(quán)限管理粒度，建立精細(xì)化權(quán)限管理機(jī)制僅在使用中允許：“定位”、“讀取聯(lián)系人”、“讀取通話記錄”等7項(xiàng)權(quán)限支持設(shè)置為“僅在本次運(yùn)行允許：“定位”、“相機(jī)”、“錄音”等5項(xiàng)權(quán)限支持設(shè)置為“本次運(yùn)行允許”。當(dāng)用戶新詢問用戶、獲得授權(quán)。后臺禁用“相機(jī)”：禁止任何應(yīng)用在后臺調(diào)用“相機(jī)”權(quán)限調(diào)起設(shè)備攝像頭進(jìn)行拍照或攝像權(quán)限目的描述：當(dāng)應(yīng)用申請使用“錄音”、“定位”、“聯(lián)系人”等4種權(quán)限時，MIUI在使用中允許”兩種權(quán)限調(diào)用授權(quán)模式?！凹羟邪濉睓?quán)限：MIUI訪問或修改設(shè)備剪切板內(nèi)的信息?？瞻淄ㄐ凶C：MIUI系統(tǒng)新增的“空白通行證”功能允許用戶在不同意APP所要求的部分必選權(quán)限時仍能使用該APP。當(dāng)用戶在APP中開啟“空白通行證”功能時，該APP調(diào)用“讀取聯(lián)系人”權(quán)限、“讀取短信”權(quán)限、“讀取通話記錄”權(quán)限及“讀取日歷”權(quán)限時，MIUI系統(tǒng)將自動向該APP鏈?zhǔn)絾庸芸兀篗IUI全面禁用了三方應(yīng)用的后臺鏈?zhǔn)絾庸δ?，三方?yīng)用無法通過廣播或MIUI將通過將該應(yīng)用加入黑名單的方式禁用該應(yīng)用的鏈?zhǔn)絾庸δ堋?注：僅中國大陸地區(qū)支持：“本次運(yùn)行允許”功能、后臺禁用“相機(jī)”權(quán)限、權(quán)限目的描述、、空白通行證、鏈?zhǔn)絾庸芾碛脩魴?quán)限感知是MIUI精細(xì)化權(quán)限管理機(jī)制的另一重要組成部分。通過提醒、記錄、匯總等一系權(quán)限使用提醒：當(dāng)應(yīng)用調(diào)用“錄音”、“拍照”、“定位”權(quán)限時，MIUI使用提醒中通過顯著方式提醒用戶。用戶點(diǎn)擊該提醒后，MIUI權(quán)限使用狀態(tài)。同時，用戶也可在該彈窗中直接關(guān)閉使用權(quán)限的應(yīng)用。應(yīng)用行為查詢:MIUI新增的應(yīng)用行為記錄查詢功能允許用戶通手機(jī)管家應(yīng)用管理應(yīng)敏感權(quán)限通知：當(dāng)應(yīng)用在后臺調(diào)用“定位”、“錄音”、“讀寫剪切板”、“讀寫聯(lián)系人”、“讀寫通話記錄”權(quán)限時，MIUI用的行為記錄頁面，用戶可在此頁面直接配置應(yīng)用的對應(yīng)權(quán)限。高危權(quán)限管控：當(dāng)應(yīng)用申請“通知使用權(quán)”、“使用情況訪問權(quán)限”等高度敏感權(quán)限時將通過全屏提醒的方式向用戶展示該授權(quán)的可能風(fēng)險。*注：該圖為示意圖，非應(yīng)用實(shí)際權(quán)限調(diào)用情況MIUI使用差分隱私技術(shù)保護(hù)用戶的隱私。當(dāng)用戶同意向小米分享數(shù)據(jù)后，MIUI在隨機(jī)添加干擾信息后MIUI這一技術(shù)在保證數(shù)據(jù)可用性的同時，確保任何人都無法從中獲取用戶的準(zhǔn)確信息，從而最大程度的保護(hù)用戶隱私。MIUI針對Android原生日志中涉及到的隱私信息（如：基站位置、IP地址、設(shè)備標(biāo)識符等）使用MIUI為用戶提供了私密短信、私密相冊、私密文件夾與私密便簽等一系列私密空間功能指紋密碼解鎖，打開私密短信、私密相冊、私密文件夾和私密便簽專有空間，用戶在此空間中管理私密的聯(lián)系人、相冊圖片、文件和便簽。與私密聯(lián)系人之間發(fā)送的短信、存儲在私密相冊中的圖片、私密文件夾中的文件以及私密便簽的內(nèi)容只在私密空間中展示，增強(qiáng)對用戶隱私信息的保護(hù)。用戶也可以自行設(shè)置是否讓私密短信在常規(guī)界面上顯示通知展示常規(guī)內(nèi)容。Internetservice針對運(yùn)行在MIUI及其他小米應(yīng)用上的互聯(lián)網(wǎng)服務(wù)，小米嚴(yán)格遵循SecuritybyDesign和務(wù)，包括但不限于小米云服務(wù)、小米支付（Miy）、小米商城、米家App、小米社區(qū)、小米音樂等。用戶也可通過小米帳號購買米幣以使用小米的各種虛擬產(chǎn)品和增值服務(wù)（如：游戲、電子書等）。為防止未經(jīng)授權(quán)的使用，小米采取如下技術(shù)手段和管理措施保障用戶帳號安全用戶注冊或更換密碼時，需設(shè)置字符長度為8~16的兩種。成功登錄后，在帳號安全設(shè)置里，用戶可以綁定安全手機(jī)、安全郵箱，設(shè)置密保問題*及開啟跨設(shè)備驗(yàn)證。在用戶更改帳號信息或重置密碼時，這些安全驗(yàn)證方式將被用來驗(yàn)證用戶身份。*注：僅中國大陸地區(qū)注冊的小米帳號支持此功能小米帳號通過帳號智能風(fēng)控服務(wù)實(shí)現(xiàn)登錄保護(hù)，有效降低用戶帳號被非授權(quán)登錄及帳號被盜的險用戶登錄時，為保證登錄安全，小米帳號會檢測登錄環(huán)境及用戶操作方式。在用戶多次嘗試密碼短信等驗(yàn)證方式登錄失敗后，小米帳號采用圖片驗(yàn)證碼、滑動或點(diǎn)選圖片等交互驗(yàn)證方式，進(jìn)一步識別針對帳號的惡意攻擊。在識別為更異常的登錄行為時，小米帳號將要求密碼、短信驗(yàn)證以外的安全驗(yàn)證方式如驗(yàn)證仍未通過將根據(jù)風(fēng)險等級限制用戶允許訪問的服務(wù)其中此帳號會被凍結(jié)，并被強(qiáng)制退出當(dāng)前所有登錄，當(dāng)前密碼也不可再使用或復(fù)用。帳號智能風(fēng)控服務(wù)定義的需要安全驗(yàn)證的場景包括在非可信環(huán)境中登錄小米帳號查看隱私數(shù)據(jù)（如：使用網(wǎng)頁查看儲存在小米云端的相冊、短信、通訊錄等修改“帳號安全”中的設(shè)置（如：更換安全手機(jī)或郵箱等）驗(yàn)證方式包括但不限于跨設(shè)備驗(yàn)證、短信驗(yàn)證和郵箱驗(yàn)證。此外，小米帳號具備以下安全特性進(jìn)一步保障帳號登錄安全手機(jī)號登錄小米帳號。在MIUI手機(jī)上，只有經(jīng)小米許可的App，才能使用手機(jī)系統(tǒng)的小米帳號登錄小米將用戶注冊時錄入的個人信息進(jìn)行了數(shù)據(jù)加密，包括AES-128加鹽哈希、AES-128加利用隨機(jī)數(shù)生成函數(shù)生成字符串（隨機(jī)鹽）附加到登錄密碼中（哈希產(chǎn)生散列值后ES-8每個用戶的隨機(jī)鹽是不同的，即使兩個用戶使用了同一個密碼，最終生成的散列值也是不同的。圖5-1在用戶注冊或登錄小米帳號時，帳號相關(guān)信息均采用HTTS加密通道向服務(wù)端傳輸。小米將用據(jù)。小米對用戶數(shù)據(jù)進(jìn)行基于角色的分級化訪問控制，并接受相應(yīng)的安全審計(jì)。yCer立團(tuán)隊(duì)負(fù)責(zé)運(yùn)維，實(shí)現(xiàn)業(yè)務(wù)、數(shù)據(jù)和密鑰的管理職責(zé)分離?；诮巧脑L問控制，保證任何個人無法獲得解密用戶數(shù)據(jù)所需的所有權(quán)限。此外，存儲用戶數(shù)據(jù)的服務(wù)器和數(shù)據(jù)庫還部署了實(shí)時監(jiān)測機(jī)制，可以對異常訪問行為進(jìn)行告警及阻斷5-2KeyCenter密鑰管理邏輯架為保證KeyCenter中存儲密鑰的安全，采用4096位的RootKey對其進(jìn)行加密處理，而RootKey密鑰則是由硬件加密機(jī)產(chǎn)生。自動失效，用戶需重新刷新二維碼。小米帳號支持第三方帳號的綁定授權(quán)，用戶可以使用第三方帳號登錄小米帳號，目前國內(nèi)支持微博帳號、微信帳號、支付寶帳號、QQ帳號，海外支持aebook帳號、Gogeuth2.0（開放授權(quán)標(biāo)準(zhǔn)），并遵循標(biāo)準(zhǔn)的uth2.0協(xié)議和流程，以實(shí)現(xiàn)授權(quán)第三方帳號登錄。uth2.0的安全機(jī)制保障了小米帳號相關(guān)信息不會傳遞給第三方。設(shè)備間自動同步。同時，用戶可以在手機(jī)損壞或丟失時盡可能挽回?cái)?shù)據(jù)。用戶可以隨時隨地在其他設(shè)備上或通過Web端（）瀏覽和管理自己的數(shù)據(jù)用戶主動開啟小米云服務(wù)后，可選擇同步以下數(shù)據(jù)內(nèi)容，也可以隨時設(shè)置關(guān)閉是是128AES密鑰加密是是是是是是是是是是用戶的聯(lián)系人信息、頭是是是是是是128AES密鑰加密是是Wi-Fi用戶連接的Wi-Fi設(shè)置數(shù)據(jù)是是是是用戶的桌面布局、壁是是是是是是是是是是是是用戶ID、播放歌單、播放音是是安全中心VIP名單、勿擾模式等是是是是開啟云服務(wù)時，手機(jī)將自動開啟相冊同步和智能照片分類功能。啟用智能照片分類功能后，手機(jī)相冊會對用戶照片按照人物地點(diǎn)風(fēng)景植物美食等多個維度進(jìn)行自動分類和展示服務(wù)”—“相冊”中關(guān)閉此功能。練算法。算法在獨(dú)立環(huán)境訓(xùn)練完成后內(nèi)嵌在小米云服務(wù)端，照片自動同步到用戶云空間后，調(diào)用圖片智能算法模型對照片進(jìn)行分類，將分類標(biāo)簽下發(fā)到手機(jī)相冊中，打開相冊即可瀏覽分類照片。圖5-3智能照片分類實(shí)現(xiàn)邏輯為防止用戶數(shù)據(jù)被竊取或篡改，在數(shù)據(jù)同步過程中web端、手機(jī)端與服務(wù)端之間采用HTTPS加密通道進(jìn)行傳輸。此外，云服務(wù)web15鐘超時自動退出機(jī)制。在數(shù)據(jù)存儲過程中，小米云服務(wù)將每個文件分為區(qū)塊，每個文件區(qū)塊均經(jīng)過至少128位AES密圖5-4云服務(wù)數(shù)據(jù)安全架構(gòu)務(wù)。針對存儲用戶數(shù)據(jù)的公有云服務(wù)商，小米制定了嚴(yán)格的安全要求和評審規(guī)范，嚴(yán)苛地選擇符合要求的服務(wù)商。小米僅將加密后的數(shù)據(jù)塊存儲在第三方公有云上，不會分享加密密鑰。間的相應(yīng)數(shù)據(jù)會被標(biāo)記為已刪除狀態(tài)并暫存在回收站30天內(nèi)用戶仍然可以通過回收站找回?cái)?shù)據(jù)，回收站中手動清空或超過30天自動清空的數(shù)據(jù)，將從服務(wù)端徹底刪除，無法恢復(fù)。如果用戶注小米支付（MiMiy是小米錢包提供的手機(jī)支付服務(wù)。使用Miy過用戶的指紋驗(yàn)證即可完成支付。為保證支付安全，在硬件層面，小米手機(jī)提供支付指紋信息的硬件加密與銀行卡信息的安全存儲，實(shí)現(xiàn)支付信息的物理隔離；在系統(tǒng)軟件層面，發(fā)起支付時MIUIy務(wù)在支付過程中并不會收集用戶的任何交易信息。MiPay組安全元件：安全元件（SecureElementSE是業(yè)內(nèi)公認(rèn)的、運(yùn)行JavaCard平臺的認(rèn)證芯片，模擬門禁卡等*。TEE：在小米手機(jī)上，TEE負(fù)責(zé)管理用戶指紋認(rèn)證過程以保障支付交易的安全MiPay服務(wù)器：MiPay服務(wù)器負(fù)責(zé)管理小米錢包中的銀行卡、交通卡和模擬門禁卡的設(shè)置，以及儲存在安全元件中的設(shè)備卡號。MiPay服務(wù)器會和手機(jī)以及發(fā)卡機(jī)構(gòu)服務(wù)器進(jìn)行通信。*注：交通卡、模擬門禁卡功能僅部分機(jī)型支持此功能MiPay安全元件Miy的專用小程序，還包含由支付網(wǎng)絡(luò)或發(fā)卡機(jī)構(gòu)認(rèn)證的小程序。支付網(wǎng)絡(luò)或發(fā)卡機(jī)構(gòu)發(fā)送的加密銀行卡信息被儲存在這些小程序內(nèi)，并通過安全元件的安全性功能進(jìn)行保護(hù)。交易期間，銷售點(diǎn)終端使用專門的硬件總線，通過NCMiPayNFC作為安全元件的入口，NCC求。Miy支付時，NC應(yīng)發(fā)送給射頻場。交易的支付授權(quán)詳細(xì)信息通過安全元件加密后直接發(fā)送給支付網(wǎng)絡(luò)，不會透露給應(yīng)用程序處理器。用戶在MiPay中添加銀行卡時，需要使用卡號、卡片有效期和CVV碼等信息。用戶可以在小米銀行卡號信息輸入完成后Miy驗(yàn)證通過后，小米錢包將向用戶返回銀行協(xié)議，僅當(dāng)用戶同意后才能繼續(xù)添加流程。用戶后續(xù)填寫的銀行卡其他信息，將通過“銀聯(lián)安全服務(wù)控件”加密后發(fā)送到Miy服務(wù)器，并再次由Miy號，以及添加銀行卡時用戶大致位置（如果用戶當(dāng)前啟用了“定位服務(wù)”）。發(fā)卡機(jī)構(gòu)將會依據(jù)這些信息來決定是否批準(zhǔn)將銀行卡添加Miy。在配備TEE的設(shè)備上，SE僅在收到來自TEE的授權(quán)后才會允許進(jìn)行支付操作。在小米手機(jī)上，TEE和SE之間通過串行接口連接，使用ECC加密算法進(jìn)行簽名認(rèn)證確保通信安全。MIUI為進(jìn)TA和SE均采用硬件級別的加密TEESEECC簽名認(rèn)證，確保SE只接受來自本機(jī)TEE的授權(quán)信息，即使物理入侵SE卡也無法MiPay通信采取AES加密后HTTPS傳輸?shù)碾pTEE中，無法被任何應(yīng)用讀取，也不會上圖5-5支付授權(quán)邏輯架構(gòu)“MiyMiy入網(wǎng)絡(luò)，支付網(wǎng)絡(luò)或發(fā)卡機(jī)構(gòu)也可停用其支付功能。此外，用戶還可以通過致電發(fā)卡機(jī)構(gòu)來暫停使用或移除該銀行卡。用戶可通過說出“小愛同學(xué)”來喚醒支持的智能設(shè)備，以實(shí)現(xiàn)語音對話、天氣查詢、撥打電話、控制智能家庭設(shè)備等。開發(fā)者基于AI上實(shí)現(xiàn)語音交互。小米語音引擎主要由以下模塊構(gòu)成智能搜索和執(zhí)行（IeigeneeachEgie&Eecution，ISEE）而來的指令，對智能家庭設(shè)備進(jìn)行控制，或搜索各垂直領(lǐng)域的優(yōu)質(zhì)內(nèi)容和服務(wù)（如：音樂播放、天氣查詢等），返回最符合用戶需求和當(dāng)前語境的查詢結(jié)果；語音合成（TextToSpeech，TTS）模塊通過文本轉(zhuǎn)語音，將智能搜索返回結(jié)果轉(zhuǎn)換為語音回小愛同學(xué)基于小米語音引擎，集成第三方的內(nèi)容、服務(wù)以及AI技術(shù)，可通過統(tǒng)一的API和SDK圖5-6小愛同學(xué)基礎(chǔ)架構(gòu)當(dāng)用戶說出“小愛同學(xué)”時，設(shè)備端開始記錄用戶語音，錄音（包括后續(xù)的語音指令）服務(wù)端。在小愛同學(xué)未被喚醒的狀態(tài)下，傳入麥克風(fēng)的聲音不會被記錄和上傳。當(dāng)用戶使用小愛時，登錄的小米帳號ID、終端設(shè)備標(biāo)識符的哈希值等可標(biāo)識用戶身份的信息將通過傳輸層加密上傳。在服務(wù)端，這些信息不會與用戶的錄音內(nèi)容直接關(guān)聯(lián)，小米帳號IDID，此ID存在KeyCenter。在小米內(nèi)部，任何人均不會被同時授予ID映射關(guān)系表和密鑰的訪問權(quán)限的準(zhǔn)確度。這些錄音片段僅關(guān)聯(lián)到上述經(jīng)過隨機(jī)化和加密處理的ID，無法識別用戶身份。小愛語音助手的用戶可以為自己錄制聲紋*，用以實(shí)現(xiàn)僅預(yù)設(shè)聲紋匹配的用戶可以喚醒設(shè)備。聲紋的特征信息也是僅關(guān)聯(lián)到上述經(jīng)過隨機(jī)化和加密處理的ID，無法識別用戶身份。v4.8MIUIAPP*行以下設(shè)置是否上傳喚醒音頻和聲紋信息并用于語音喚醒優(yōu)化是否將語音數(shù)據(jù)用于語音識別優(yōu)化注1：注2：部分設(shè)備隱私開關(guān)的設(shè)置路徑和內(nèi)容不同從通訊錄中篩選出最接近的一個或一組。篩選出的數(shù)據(jù)采用ES-8的聯(lián)系人號碼不會被上傳，且聯(lián)系人姓名數(shù)據(jù)不會被存儲到服務(wù)端。此外，為提升語音識別準(zhǔn)確度，用戶可通過MIUI或語音設(shè)備APP中的隱私開關(guān)，設(shè)置是否通過成模塊僅在設(shè)備端運(yùn)行，消息內(nèi)容和用戶數(shù)據(jù)均不會被上傳至服務(wù)端。進(jìn)行控制。*，小愛同學(xué)會和米家服務(wù)端進(jìn)行關(guān)聯(lián)，并獲取小米帳號下智能家庭設(shè)備的名稱房間狀態(tài)等信息以執(zhí)行控制操作小愛同學(xué)服務(wù)端存儲這些信息不會用于分析用戶生活起居習(xí)慣或興趣愛好。*注：使用小愛同學(xué)控制小米電視時，需要通過設(shè)備端藍(lán)牙或Wi-Fi掃描附近的小米電視，獲取MC設(shè)備匹配。的數(shù)據(jù)字段，例如：小愛同學(xué)支持基于OAuth2.0協(xié)議的第三方授權(quán)登錄，用戶可通過小愛同學(xué)查詢外賣和快遞作為ASR與TTS能力的備用資源，小米在特定場景下會與外部服務(wù)提供商合作以使用其所有數(shù)據(jù)在用戶設(shè)備終端、服務(wù)端、第三方之間傳輸時，均通過HTTPS或密鑰加密的WebSocket進(jìn)行傳輸層加密。用戶的小米帳號ID、設(shè)備標(biāo)識符，以及上文提到的隨機(jī)ID，均采用AES-128加密后存儲至數(shù)據(jù)庫中，加解密的密鑰存于KeyCenter中。小米對用戶數(shù)據(jù)進(jìn)行基于角色的分級化訪問控制，并接相應(yīng)的安全審計(jì)圖像智能基于智能視覺處理技術(shù)為MIUI用戶提供智能相冊、圖像識別、智能相機(jī)等服務(wù)智能相冊可幫助用戶便捷地編輯、管理和使用圖片。提供的功能包括：美食、風(fēng)景、人物等多理存儲空間；圖像識別與圖片搜索以幫助用戶快速定位并使用相冊中的圖片。特殊偏好匹配與精細(xì)化畫質(zhì)調(diào)教；通過算法識別年齡性別后，匹配不同的美顏參數(shù)方案進(jìn)行人像優(yōu)化，實(shí)現(xiàn)千人千面的美化效果；短視頻特效以幫助用戶快速生成類似微電影效果的成品視頻。AI圖片智能算法在研發(fā)環(huán)境中進(jìn)行訓(xùn)練，訓(xùn)練完成后的算法模型內(nèi)嵌到MIUI的相冊、相機(jī)中，模5-7AI算法邏輯架當(dāng)用戶使用圖像智能提供的服務(wù)時，小米僅收集提供服務(wù)所必須的用戶數(shù)據(jù)，且所有功能將優(yōu)先務(wù)端，具體參見本文5.2.2章節(jié)。小米位置服務(wù)為運(yùn)行在MIUI上的小米及第三方應(yīng)用和網(wǎng)站提供基于設(shè)備的定位能力，包括定位、網(wǎng)絡(luò)定位和融合定位，各類定位收集的信息如下GPS定位：通過衛(wèi)星定位設(shè)備，收集的信息包括：設(shè)備標(biāo)識符和經(jīng)緯度信息網(wǎng)絡(luò)定位：網(wǎng)絡(luò)定位收集的信息包括：Wi-Fi熱點(diǎn)信息和基站信息（SSID（BSSID（RSSI融合定位：以GPS定位為基礎(chǔ)，可進(jìn)一步疊加網(wǎng)絡(luò)定位數(shù)據(jù)和傳感器數(shù)據(jù)進(jìn)行定位當(dāng)用戶開啟位置服務(wù)且有應(yīng)用調(diào)用定位時，位置服務(wù)會將設(shè)備附近Wi-Fi點(diǎn)信息及基站信息，以匿名及加密的方式上傳至服務(wù)端，此部分?jǐn)?shù)據(jù)將用于擴(kuò)充Wi-Fi熱點(diǎn)和基站位置的眾包數(shù)據(jù)庫，位置服務(wù)所收集的數(shù)據(jù)均通過有鑒權(quán)機(jī)制的API，經(jīng)過AES-128加密（其中AES會話密鑰通過Pre-sharedkey方式與服務(wù)端交互）和Base64編碼后，再通過HTTPS傳輸。用用戶可通過MIUI“系統(tǒng)安全”-“隱私設(shè)置”-“位置信息”菜單的“開啟位置服務(wù)”開關(guān)設(shè)置是否開啟位置服務(wù)小米推送（MiPsh）戶端應(yīng)用實(shí)時推送消息的服務(wù)。5-8小米推送服務(wù)架小米推送支持通知欄消息和透傳消息兩種消息類型，同時提供API息下發(fā)途徑。小米推送SDKndoid、iOS客戶端及服務(wù)端主流語言，可以幫助開發(fā)者更好的結(jié)合自身業(yè)務(wù)邏輯，滿足復(fù)雜業(yè)務(wù)場景需求。小米通過開發(fā)者協(xié)議，規(guī)范開發(fā)者對終端用戶個人信息的保護(hù)保護(hù)個人信息。隱私保護(hù)標(biāo)準(zhǔn)。繼續(xù)使用小米推送服務(wù)。保其適用于小米推送服務(wù)。小米推送不直接使用設(shè)備標(biāo)識符（如：IMEI）來標(biāo)識設(shè)備，而是通過去標(biāo)識化等技術(shù)手段對用戶個人信息進(jìn)行處理。小米推送在設(shè)備端對三個設(shè)備標(biāo)識字段（設(shè)備標(biāo)識符、序列號、安卓ID）希后，將生成的字符串上傳至服務(wù)端，服務(wù)端將此字符串映射至隨機(jī)生成的ID返回給客戶端。小米ID作為設(shè)備的唯一標(biāo)識推送消息。小米推送只作為消息通道不對消息內(nèi)容中間數(shù)據(jù)和統(tǒng)計(jì)結(jié)果均不會提供給小米合作方，也不允許合作方以任何形式訪問這些數(shù)據(jù)；小米推送僅為開發(fā)者提供包括時間、消息維度的后臺統(tǒng)計(jì)數(shù)據(jù)，不提供任何用戶個人信息。APP次向服務(wù)端發(fā)起注冊請求時，會將設(shè)備信息（設(shè)備標(biāo)識字段經(jīng)過不可逆哈希）上傳至服務(wù)端，服務(wù)端返回隨機(jī)ID和消息內(nèi)容密鑰，此過程采用HTTPS加密通道HTTSES-8加密，推送到設(shè)備端的消息經(jīng)過對稱加密算法加密后，通過服務(wù)端和設(shè)備端之間ES-8加密通道的雙重加密，將消息推送到設(shè)備端。消息推送成功后，消息內(nèi)容將在服務(wù)端刪除。如因異常情形導(dǎo)致消息未送達(dá)，服務(wù)端會將消息容保留10天；小米推送服務(wù)向開發(fā)者提供用戶數(shù)據(jù)刪除接口，開發(fā)者可調(diào)用此接口刪除此APP在小米推送的注冊信息；當(dāng)設(shè)備90內(nèi)沒有連接網(wǎng)絡(luò)，此設(shè)備相關(guān)的消息內(nèi)容也會從服務(wù)端刪除；開發(fā)者停止接入小米推送服務(wù)或要求停止推送服務(wù)時，小米根據(jù)開發(fā)者指示刪除所有相關(guān)APP信息。Securitycertifica