安全网络认证，一个反滥用组件

原标题：SafetyNet attestation, a building block for anti-abuse
链接：https://android-developers.googleblog.com/2017/04/safetynet-attestation-building-block.html
作者：Arindam Basu, Borbala Benko, Alan Butler, Edward Cunningham, William Luh
翻译: arjinmc

为开发者和用户创建革命性安全方面持续优先。在努力这模块，我们提供的SafetyNet(安全网)认证，给开发者们的一个api可以远程判断是否在与一个真实的Android设备通话。

SafetyNet测试设备上的软件和硬件的完整信息。这个结果是加密过的有符声明，正式设备上的基本属性——例如整体完整性和兼容性的CTS(兼容测试套件)，还有你app的元数据，像包名和签名。下面这个JSON片段展示这个API所返回的信息的例子：

    {
      "nonce": "R2Rra24fVm5xa2Mg",
      "timestampMs": 9860437986543,
      "apkPackageName": "com.package.name.of.requesting.app",
      "apkCertificateDigestSha256": ["base64 encoded, SHA-256 hash of the
                                      certificate used to sign requesting app"],
      "apkDigestSha256": "base64 encoded, SHA-256 hash of the app's APK",
      "ctsProfileMatch": true,
      "basicIntegrity": true,
}

这个是认证例子返回的内容，提供的信息关于这个app的名字和完整信息，兼容信息。

SafetyNet认证API可以帮助你服务端区分通信的Android设备是真实的，兼容符合要求的，还是不可信的设备，包括区分不是Android设备。这样分类可以有助于你更好的理解连接每一个设备的风险，因此你可以通过微调预防或缓解这些不是我们想要的设备。

我们鼓励开发者使用SafetyNet认证来应对反滥用策略。整合SafetyNet和其他机制，例如存在的设备方面，用户行为方面，创建更强大，多样保护的系统。

更多新资讯，访问我们的最近更新文档和在Github上查看SafetyNet的例子。