案例名稱

螞蟻數字科技：mPaaS全鏈路終端安全方案

案例簡介

隨著工信部出具 App 數據防攻擊、防竊取、防泄露、數據備份和恢復等安全保障措施，中國人民銀行也快速跟進，針對移動金融 App 制定了特定安全管理規范。

螞蟻數字科技 mPaaS 全鏈路終端安全方案，響應中國人民銀行出具《移動金融客戶端應用軟件安全管理規范》，加強移動金融 App 在數據安全、身份認證安全、功能安全設計、密碼秘鑰管理、數據安全、安全輸入、抗攻擊能力等方面提升安全防護能力。

1、金融 App 安全檢測

借助“環境檢測”、“漏洞掃描”，幫助移動金融 App 全面排查安全漏洞，評估個人信息采集是否合規，并提供安全問題修復方案及建議。

2、金融 App 安全防護

借助“統一存儲”、“移動網關”，保障教育 App 密碼秘鑰管理、數據傳輸、存儲安全性，并借助“安全加固”，提供完善的 App 加固服務，保障應用線上運行避免篡改、破解、調試等風險。

3、金融 App 身份認證安全

借助“安全鍵盤”、“實人認證”，“IFAA 金融級身份認證”，實現金融 App 特定場景下身份認證安全，充分保障用戶信息、業務交易數據安全性。

創新技術/模式應用

創新技術實踐：

（1） 移動安全鍵盤

移動安全鍵盤，基于移動金融App終端用戶鍵盤輸入場景，提供客戶端鍵盤數據內存及傳輸加密，服務端進行解密，最大限度地保障數據輸入安全性。

· 使用靈活：Autolayout布局，適配屏幕分辨率和尺寸。UI樣式開放接口，支持自定義、Windows及Vide集成方式

· 高安全性：鍵盤點擊記錄、輸入讀取、內存保護，抵御內存dump攻擊。防截屏、錄屏及Activity導出。非對稱加密，秘鑰由客戶端自行保管，減少泄漏風險。

· 多平臺支持：支持Android、iOS、H5、小程序（JSAPI喚起Native鍵盤）

（2） 移動安全測試

借助模擬器從而實現模擬真實設備進行檢測，針對 App 存在的“Hook 攻擊、Xposed 注入”等風險進行調試檢測，同時進行 Debug、截屏、錄屏等測試。

（3） 移動威脅感知

針對 App 內部不同身份的代碼模塊進行“身份及行為”進行識別和管控，同時，針對 App 內部的調用行為實現詳細的內視和追溯。

（4） 移動安全加固

針對移動APP普遍存在的破解、篡改、盜版、內存調試等各類安全風險，提供穩定、簡單、有效的安全保護，提高APP整體安全水平，力保應用不被破解。

· 針對 Dex文件/SO庫實行加殼保護，提供APK反編譯、篡改等完善的APP保護機制。 

· 針對Java Bytecode進行混淆保護：借助Java代碼轉化為Native二進制碼，提升破解難度，無法篡改，充分保障應用安全性。

· 高兼容性與高穩定性：支持 Android & iOS全線系統版本，上億級別業務錘煉，極低崩潰率保障。

項目效果評估

螞蟻數字科技 mPaaS 全鏈路終端安全方案目前已和中信銀行（香港）、南洋商業銀行等數十家金融機構達成合作。具體項目應用及效果：

- 中信銀行（香港）

作為全國性股份制商業銀行，中國第七大銀行，中信銀行總資產規模超7萬億元。作為國內銀行數字化轉型的先行者，中信銀行早在2019年就明確將數字化轉型上升為全行戰略。

而其中，構建圍繞終端應用的全鏈路安全方案同樣迫在眉睫。

1、實現終端 App 全鏈路安全防護能力：通過前置的加殼加密保護，確保 App 具備反編譯、篡改的防護能力；并結合針對 Java、OC 等代碼混淆機制，將源代碼轉換為 Native 二進制代碼，深度提升 App 逆向破解的難度。同時深入場景，面向終端用戶鍵入信息、數據的場景實現數據在內存和傳輸的全程加密及服務端解密能力。

2、實時監控，保障 APP 運行期間穩定性：即使在 App 線上運行階段，通過對終端設備的環境分析，能夠全面、及時地檢測已知和未知風險，風險項與風控機制相結合，充分保障 App 運行安全；除此之外，與行業保持信息同步，及時更新 Android、iOS、小程序多端存在的安全漏洞，從而提前規避漏洞風險。

項目牽頭人

祁曉龍 螞蟻移動科技產品負責人

責任編輯：韓希宇