案例名称

蚂蚁数字科技：mPaaS全链路终端安全方案

案例简介

随着工信部出具 App 数据防攻击、防窃取、防泄露、数据备份和恢复等安全保障措施，中国人民银行也快速跟进，针对移动金融 App 制定了特定安全管理规范。

蚂蚁数字科技 mPaaS 全链路终端安全方案，响应中国人民银行出具《移动金融客户端应用软件安全管理规范》，加强移动金融 App 在数据安全、身份认证安全、功能安全设计、密码秘钥管理、数据安全、安全输入、抗攻击能力等方面提升安全防护能力。

1、金融 App 安全检测

借助“环境检测”、“漏洞扫描”，帮助移动金融 App 全面排查安全漏洞，评估个人信息采集是否合规，并提供安全问题修复方案及建议。

2、金融 App 安全防护

借助“统一存储”、“移动网关”，保障教育 App 密码秘钥管理、数据传输、存储安全性，并借助“安全加固”，提供完善的 App 加固服务，保障应用线上运行避免篡改、破解、调试等风险。

3、金融 App 身份认证安全

借助“安全键盘”、“实人认证”，“IFAA 金融级身份认证”，实现金融 App 特定场景下身份认证安全，充分保障用户信息、业务交易数据安全性。

创新技术/模式应用

创新技术实践：

（1） 移动安全键盘

移动安全键盘，基于移动金融App终端用户键盘输入场景，提供客户端键盘数据内存及传输加密，服务端进行解密，最大限度地保障数据输入安全性。

· 使用灵活：Autolayout布局，适配屏幕分辨率和尺寸。UI样式开放接口，支持自定义、Windows及Vide集成方式

· 高安全性：键盘点击记录、输入读取、内存保护，抵御内存dump攻击。防截屏、录屏及Activity导出。非对称加密，秘钥由客户端自行保管，减少泄漏风险。

· 多平台支持：支持Android、iOS、H5、小程序（JSAPI唤起Native键盘）

（2） 移动安全测试

借助模拟器从而实现模拟真实设备进行检测，针对 App 存在的“Hook 攻击、Xposed 注入”等风险进行调试检测，同时进行 Debug、截屏、录屏等测试。

（3） 移动威胁感知

针对 App 内部不同身份的代码模块进行“身份及行为”进行识别和管控，同时，针对 App 内部的调用行为实现详细的内视和追溯。

（4） 移动安全加固

针对移动APP普遍存在的破解、篡改、盗版、内存调试等各类安全风险，提供稳定、简单、有效的安全保护，提高APP整体安全水平，力保应用不被破解。

· 针对 Dex文件/SO库实行加壳保护，提供APK反编译、篡改等完善的APP保护机制。 

· 针对Java Bytecode进行混淆保护：借助Java代码转化为Native二进制码，提升破解难度，无法篡改，充分保障应用安全性。

· 高兼容性与高稳定性：支持 Android & iOS全线系统版本，上亿级别业务锤炼，极低崩溃率保障。

项目效果评估

蚂蚁数字科技 mPaaS 全链路终端安全方案目前已和中信银行（香港）、南洋商业银行等数十家金融机构达成合作。具体项目应用及效果：

- 中信银行（香港）

作为全国性股份制商业银行，中国第七大银行，中信银行总资产规模超7万亿元。作为国内银行数字化转型的先行者，中信银行早在2019年就明确将数字化转型上升为全行战略。

而其中，构建围绕终端应用的全链路安全方案同样迫在眉睫。

1、实现终端 App 全链路安全防护能力：通过前置的加壳加密保护，确保 App 具备反编译、篡改的防护能力；并结合针对 Java、OC 等代码混淆机制，将源代码转换为 Native 二进制代码，深度提升 App 逆向破解的难度。同时深入场景，面向终端用户键入信息、数据的场景实现数据在内存和传输的全程加密及服务端解密能力。

2、实时监控，保障 APP 运行期间稳定性：即使在 App 线上运行阶段，通过对终端设备的环境分析，能够全面、及时地检测已知和未知风险，风险项与风控机制相结合，充分保障 App 运行安全；除此之外，与行业保持信息同步，及时更新 Android、iOS、小程序多端存在的安全漏洞，从而提前规避漏洞风险。

项目牵头人

祁晓龙 蚂蚁移动科技产品负责人

责任编辑：韩希宇