移动平台客户端应用安全加固解决方案

字号：大中小

　　方案背景

　　近年来随着各银行手机银行业务的不断发展，极大的方便了广大银行客户金融业务的办理，手机银行作为银行重要的金融服务渠道之一，不仅可与PC网上银行、柜面渠道发挥同等作用，还能够提供更具价值的增值服务。但手机银行仍存在不利因素，其安全风险频发，广大用户对手机银行的安全性疑虑日益显现，严重制约了手机银行业务发展。

　　2013年5月人民银行发布了《金融业信息安全风险提示》，文件充分阐述了手机银行所面临的风险问题，并要求各商业银行加强自身手机银行业务系统的安全建设。2014年2月银监会联合中国软件测评中心对部分银行的手机银行客户端APP进行了安全性测评，测评过程中发现了若干高风险漏洞，利用这些漏洞能够实现对手机银行的攻击和篡改，这引起了人民银行、银监会以及被测行的高度重视。

　　CFCA移动平台的客户端APP安全加固服务是通过对客户端APP程序文件进行安全加固处理，最大限度防范反编译、逆向分析、应用篡改等针对客户端本身的攻击行为，提升手机银行客户端APP安全防护级别。

　　方案定位

　　1、面向移动平台专项领域的安全加固服务

　　为了更好的提高移动平台的安全性，我们充分发挥自身在该领域上的技术专长，为各移动平台客户端APP提供专业的移动安全保护产品，并形成了具有针对性的安全保护体系。阻止山寨盗版应用和恶意代码的泛滥，净化移动互联网的安全环境；

　　2、面向不同层面的安全

　　CFCA移动平台客户端加固服务目前的基础保护逻辑不仅仅是针对Dalvik虚拟机可解释执行的文件体，同时还涉及了本地二进制文件的加密保护（ELF = Executable and Linkable Format，可执行链接格式，是UNIX系统实验室作为应用程序二进制接口“Application Binary Interface-ABI”而开发和发布的，扩展名为elf。）针对这种文件格式的保护功能，可以扩展至具有同等硬件支持的移动设备。针对本地原生程序的保护是未来移动安全的趋势，因此这一层面的保护可以有效地防御多数的深层分析攻击；

　　3、面向多种安全级别的需求

　　在移动平台普及的过程中，Android APK的开发需求和开发者越来越多，应用软件的安全不仅仅是开发中的保护，还有对产品维护期与更新版本的保护，客户端加固服务不仅能对各类Android应用软件进行基本的安全开发保护，还能针对特定领域中需要高级别安全保护的产品进行保护。

　　方案简介

　　CFCA客户端APP加固服务采用动态调试与静态分析全面防护的思路，在程序运行的不同周期采取不同程度的加固措施；

　　加固时可以针对静态的文件进行整体加密、代码抽取、伪加密等技术，从而加大非法分析者在获取程序的静态私密数据的难度；

　　针对动态的执行过程进行哈希校验、反调试、运行时解密、代码回写等技术，切断通过调试器动态跟踪的过程，有效保护程序的私密逻辑不被泄露，同时也保证其执行逻辑不被恶意篡改。如下图所示：

移动平台客户端应用安全加固解决方案

　　客户端加固服务结合多样、多形态的开发类型，从而设计了可以针对不同安全级别保护版本，能更全面，更有效的保护不同需求的Android应用软件。

　　方案特点

　　易操作：加固人员上传移动应用后，自动快速接受并处理加固保护并下发加固后程序；

　　强化安全：动态静态双向保护，保护强度大；

　　零风险：防止应用被非法加入病毒、计费SDK、广告SDK、恶意代码，防止非法篡改；

　　零修改：开发者无需修改源程序，无需使用SDK；定制保护机制灵活；

　　零影响：不改变移动应用原有的用户体验，不增加软件运行的负担。