案例 | 金融服务安全为先,原生鸿蒙系统级安全能力为金融应用保驾护航
文 / 华为终端云鸿蒙项目组
金融服务的安全性,不仅关乎用户的财产安全,更关乎国民经济的稳定发展大局。作为当前用户获取金融服务的主要渠道之一,金融理财App的安全性备受广大金融机构关注。全栈自研的原生鸿蒙推出了创新的鸿蒙星盾安全架构,为金融理财应用提供了丰富、完善的系统级安全能力,守护金融服务创新,助力业务稳定开展。
图1 HarmonyOS NEXT星盾安全架构提供系统级安全保障
鸿蒙星盾安全架构:确保生态纯净、隐私可控、数据高安
原生鸿蒙提供了分级的安全设计,以硬件安全芯片加持,对系统内核及框架的安全能力进行全方位提升,使系统更加安全可控。原生鸿蒙的密码模块获得了国密二级认证,鸿蒙内核获得了CC EAL6+认证,HarmonyOS NEXT获得CCRC EAL5+认证,屡获权威认证的原生鸿蒙,为包括金融应用在内的各类应用提供坚实的系统安全底座。
图2 HarmonyOS NEXT安全能力获得行业最高等级安全认证
在此基础上,鸿蒙星盾安全架构从纯净治理、隐私保护、数据安全三个维度,全生命周期保护消费者隐私数据,同时为开发者赋能,使金融理财应用可便捷地调用系统的原生安全能力,提升应用安全性。
首先,在应用纯净治理方面,基于软硬一体的全新架构,原生鸿蒙可保证系统中的每个应用都是可信赖的,消费者无需担心应用的安全性。要做到这一点,原生鸿蒙系统中的每个应用、每一段代码都有签名,可防止应用被注入恶意代码,从根源上保证了应用生态的纯净。
展开全文
其次,在隐私保护方面,原生鸿蒙通过硬件级安全触发、硬件级传感器断电、硬件级零信任感知、硬件级显示等多种手段,防止传感器监听与跟踪。同时,以原生无特权的分类分级软件架构与控件,推出安全访问机制,变“管权限”为“管数据”,实现免弹框授权,消费者在获得更丝滑的体验的同时,也能避免隐私泄露风险。
图3 HarmonyOS NEXT推出创新安全访问机制
而在数据安全方面,原生鸿蒙对数据制定了分类分级的保护标准,对高敏感数据进行极致保护,对低敏感数据也能确保极致体验。此外,原生鸿蒙还基于密码熔断机制,“用时解密,不用时销毁密钥”,保护用户隐私和数据安全,同时保障开发者权益。同时,应用在进入后台之后所有相关进程都会被“冻结”,防止应用数据被窃取。并且,得益于原生鸿蒙系统级的push通道,应用也无需担心消息推送不及时。
金融行业创新实践:鸿蒙星盾安全架构解决金融应用安全痛点
金融应用面临复杂的安全风险,如黑灰产对银行金融应用进行反编译、重打包,导致“真假李逵”问题出现;用户账号和密码泄露,导致财产被窃取;不法分子通过模拟器设备、黑灰产越狱提权,以及篡改人脸或地理位置仿冒等。针对这些安全痛点,鸿蒙星盾安全架构均提供了对应的技术能力和解决方案。
过去的应用生态由于过于开放,导致生态环境糟糕,应用来源混杂。开发者缺乏健康的生态环境,消费者广受仿冒应用、病毒应用、恶意弹框的打扰,安全感严重缺失。而在鸿蒙生态中,原生纯净的治理框架结合应用/代码签名机制,使不满足要求的应用和代码无法安装和运行,从源头确保安全纯净,杜绝了恶意应用,天然把“假李逵”挡在门外。
图4 HarmonyOS NEXT星盾安全架构从源头确保应用纯净可靠
当前众多金融机构均采用智能算法推荐金融服务,若遭遇反编译&调试等恶意行为,或将导致算法等核心资产流失。在对抗反编译&调试手段方面,原生鸿蒙原生支持应用加固,在开发阶段支持代码混淆,在上架阶段进行应用加密,结合应用反调试检测和运行时签名管控,防止黑灰产对金融应用进行反编译和调试。
而在应用注册/登录阶段,为了帮助用户解决忘记应用密码,或设置密码过于简单导致遭遇“撞库”的问题,原生鸿蒙的“密码保险箱”不仅可以帮助用户记住各个App密码,还能在注册阶段自动生成建议的安全密码,同时实现密码的跨端无感同步,在其他设备登录时可自动填充密码,同步过程端到端加密,保障数据共享过程安全可信,同时也能简化用户登录体验。指纹和人脸认证已成为当前主流的用户身份认证方式,若开发者单独开发这些能力,不仅会大幅增加工作量,且安全能力难以得到保障。原生鸿蒙提供系统级的、统一的指纹&人脸生物特征身份认证服务能力,金融应用在接入该能力后,可减少用户输入密码的次数,降低密码泄露风险,同时也能进一步提升用户登录应用的体验。
在文件数据加密方面,原生鸿蒙系统提供分级的文件加密和密钥管理能力,原生支持文件加密、密钥保护和文件分享保护,全生命周期地保护数据安全。比如通过提供系统级的文件分享保护和DLP策略能力,原生鸿蒙可实现系统级的文件加密分享,只有指定用户才能查看,从而确保文件不被泄密。
原生鸿蒙还提供了可防位置替换欺骗的“安全地理位置”、可提升金融风控能力的“设备安全检测”、通过真人核验防止人脸图像篡改的“安全摄像头”和“人脸活体检测”、可提升支付安全性的“可信身份认证”等等安全能力,帮助支付宝、中国建设银行、中国农业银行、中国工商银行、招商银行、交通银行等多家金融机构筑牢安全防线。
图5 HarmonyOS SDK安全能力助力金融安全
创新的鸿蒙星盾安全架构和丰富的系统级安全能力,为金融应用带来了安全性的全面提升。以某银行App为例,在注册和登录阶段,原生鸿蒙的密码保险箱可自动生成和保存密码,帮助用户进行免密快捷登录;此外,用户还可使用华为账号一键登录,防止出现短信验证码外泄的情况,在降低风险的同时也能提升便捷性。在人脸验证的过程中,原生鸿蒙可防止黑客用AI模拟Camera图像欺骗银行App。而在使用应用的过程中,原生鸿蒙可以通过设备匿名证明、真机证明、风控检测、安全地址位置等能力,助力金融机构提升风控能力和应用安全水平。
华为欢迎金融领域伙伴接入原生鸿蒙的安全能力,实现应用安全性和用户体验的同步提升。当前已有超过800款金融应用和元服务上架原生鸿蒙应用市场,包括国有六大行在内的头部金融机构纷纷拥抱鸿蒙生态,为其他金融机构和更多行业树立了创新典范,相信接下来将会有更多应用在原生鸿蒙创新底座上实现安全能力的进阶,为用户提供更安全、更便捷、更高效的金融服务。
评论