清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

案例名称

蚂蚁数字科技:mPaaS全链路终端安全方案

案例简介

随着工信部出具 App 数据防攻击、防窃取、防泄露、数据备份和恢复等安全保障措施,中国人民银行也快速跟进,针对移动金融 App 制定了特定安全管理规范。

蚂蚁数字科技 mPaaS 全链路终端安全方案,响应中国人民银行出具《移动金融客户端应用软件安全管理规范》,加强移动金融 App 在数据安全、身份认证安全、功能安全设计、密码秘钥管理、数据安全、安全输入、抗攻击能力等方面提升安全防护能力。

1. 金融 App 安全检测

借助“环境检测”、“漏洞扫描”,帮助移动金融 App 全面排查安全漏洞,评估个人信息采集是否合规,并提供安全问题修复方案及建议。

2. 金融 App 安全防护

借助“统一存储”、“移动网关”,保障教育 App 密码秘钥管理、数据传输、存储安全性,并借助“安全加固”,提供完善的 App 加固服务,保障应用线上运行避免篡改、破解、调试等风险。

3. 金融 App 身份认证安全

借助“安全键盘”、“实人认证”,“IFAA 金融级身份认证”,实现金融 App 特定场景下身份认证安全,充分保障用户信息、业务交易数据安全性。

1

创新技术/模式应用

创新技术实践:

(1) 移动安全键盘

移动安全键盘,基于移动金融App终端用户键盘输入场景,提供客户端键盘数据内存及传输加密,服务端进行解密,最大限度地保障数据输入安全性。

· 使用灵活:Autolayout布局,适配屏幕分辨率和尺寸。UI样式开放接口,支持自定义、Windows及Vide集成方式

· 高安全性:键盘点击记录、输入读取、内存保护,抵御内存dump攻击。防截屏、录屏及Activity导出。非对称加密,秘钥由客户端自行保管,减少泄漏风险。

· 多平台支持:支持Android、iOS、H5、小程序(JSAPI唤起Native键盘)

2

(2) 移动安全测试

借助模拟器从而实现模拟真实设备进行检测,针对 App 存在的“Hook 攻击、Xposed 注入”等风险进行调试检测,同时进行 Debug、截屏、录屏等测试。

3

(3) 移动威胁感知

针对 App 内部不同身份的代码模块进行“身份及行为”进行识别和管控,同时,针对 App 内部的调用行为实现详细的内视和追溯。

4

(4) 移动安全加固

针对移动APP普遍存在的破解、篡改、盗版、内存调试等各类安全风险,提供稳定、简单、有效的安全保护,提高APP整体安全水平,力保应用不被破解。

· 针对 Dex文件/SO库实行加壳保护,提供APK反编译、篡改等完善的APP保护机制。

· 针对Java Bytecode进行混淆保护:借助Java代码转化为Native二进制码,提升破解难度,无法篡改,充分保障应用安全性。

· 高兼容性与高稳定性:支持 Android & iOS全线系统版本,上亿级别业务锤炼,极低崩溃率保障。

5

项目效果评估

蚂蚁数字科技 mPaaS 全链路终端安全方案目前已和中信银行(香港)、南洋商业银行等数十家金融机构达成合作。具体项目应用及效果:

- 中信银行(香港)

作为全国性股份制商业银行,中国第七大银行,中信银行总资产规模超7万亿元。作为国内银行数字化转型的先行者,中信银行早在2019年就明确将数字化转型上升为全行战略。

而其中,构建围绕终端应用的全链路安全方案同样迫在眉睫。

1. 实现终端 App 全链路安全防护能力:通过前置的加壳加密保护,确保 App 具备反编译、篡改的防护能力;并结合针对 Java、OC 等代码混淆机制,将源代码转换为 Native 二进制代码,深度提升 App 逆向破解的难度。同时深入场景,面向终端用户键入信息、数据的场景实现数据在内存和传输的全程加密及服务端解密能力。

2. 实时监控,保障 APP 运行期间稳定性:即使在 App 线上运行阶段,通过对终端设备的环境分析,能够全面、及时地检测已知和未知风险,风险项与风控机制相结合,充分保障 App 运行安全;除此之外,与行业保持信息同步,及时更新 Android、iOS、小程序多端存在的安全漏洞,从而提前规避漏洞风险。

项目牵头人

祁晓龙 蚂蚁移动科技产品负责人

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。