文档中心 > 阿里聚安全

安全组件

更新时间:2016/11/16 访问次数:1017

1.什么是安全组件?

阿里聚安全安全组件提供了SDK供开发者接入,通过实现多层次的安全机制,打造安全沙箱环境来防止应用被黑客或木马攻击,防止客户端机密信息泄露,客户端请求伪造,通过人机识别和服务端大数据检验应用运行环境和风险,是一套保证移动平台应用完整性,应用执行环境可信性,数据机密性的专业安全解决方案。

2.安全组件作用的原理是什么?

  1. 利用反调试、反分析、反重打包、安全编译器等方法,对抗应用破解者和伪造者
  2. 利用客户设备的运行环境和大数据,在服务端通过人机识别进行风控检测。

3.安全组件接入后,应用体积会增大多少?

ARM标准版约增大300k。

4.安全组件接入需要花多长时间?

基本安全功能需要1~2个工作日。如果需要接入人机识别和风控,需要服务端额外的的开发和联调。

5.安全组件的整个接入流程和形式是什么样子的?

简要步骤:

  1. 在聚安全控制台上传客户签名后的apk,通过后获取安全组件和对应的安全图片。
  2. 将安全图片放置到安卓的res/drawable中,然后通过安全组件的文档使用接口。

6.安全组件主要是对哪几个地方进行加强的?

  1. 利用安全沙箱保护用户的私有数据
  2. 利用反调试、反分析工具等方法,对抗应用破解者
  3. 利用白盒加密彻底隐藏客户的加密密匙
  4. 利用特殊安全编译器,从源码层级抵抗破解者
  5. 利用人机识别和大数据实时监控应用风险

7.兼容性和性能方面会有影响吗?

安全组件兼容armv5、armv7、x86、arm64等平台,同时兼容Android SDK 2.3~6.0的所有版本。
推荐的兼容性方案是只接入armv5版本,其余平台均默认兼容。

8.淘宝和支付宝等阿里系应用使用了吗?使用了安全组件的什么接口?

支付宝、手机淘宝、来往、阿里钱盾等阿里主要应用都接入了安全组件,一直非常稳定。

主要使用的接口是安全签名、安全加密、安全存储、防重打包检测、模拟器检测、root检测、人机识别等。

9.安全组件会不会修改代码,在应用中插入广告或者别的插件?

安全组件不会修改客户的任何代码。

安全组件不包含任何广告以及其他与安全组件本身业务功能无关的插件。

10.安全组件会收集哪些数据?用来作什么?

安全组件默认会收集设备固定的、通用的信息以及客户端的版本和PackageName等,如屏幕尺寸、ROM大小、是否是模拟器、是否ROOT等等。 安全组件的数据收集是分级可定制的,也可关闭的(需要业务接洽)。安全组件收集数据主要是用来作风险预测和防控。

11.接入安全组件后,后期需要怎么维护?

对应用App,安全组件目前十分稳定,一般无需额外的维护。如果出现版本升级,直接替换现有的安全组件文件即可,接口完全兼容,应用自身代码无需改动。

另外,聚安全网站提供了应用当前的风控级别已经各项安全指数,客户可以通过这些数据来实时监控当前风险。

12.安全组件的优势和弱势是什么?

优势:

  1. 安全性。安全组件的自身安全技术在业内处于领先水平,长时 间为手淘、支付宝等大型客户端的安全保障。
  2. 稳定性和兼容性。安全组件兼容市面上几乎所有的Android手机,经过长时间在手淘和支付宝中的考验,稳定可靠。
  3. 易用性。安全组件的接口经过长时间优化,接入简单,同时还提供服务端的代码,方便快速接入。
  4. 高性能。安全组件内部使用c语言和汇编实现,代码经过多次优化,主要接口的执行效率均在毫秒级。

弱势:因为安全性考量,安全组件的体积较大(300K左右)。

13.服务器jar包是必须配合APP的j ar使用的吗?可不可以不用呢?

主要看是否和服务端有联动,如果客户端加密的数据需要服务端解密,那么服务端就可以使用对应的jar包进行解密。如果客户端签名的数据服务端需要验证签名,那么服务端就可以使用对应的jar包进行签名验证。如果只是客户端本地的加解密,那么就不需要使用服务端的jar包了。

14.如果签名的密钥是在APP动态生成的,服务器如何使用同样的密钥验签?

安全签名的密钥是聚安全后台所分配,我们会将分配的密钥与服务端的jar包提供给开发者进行服务端的验签集成。

15.安全组件如何防止应用的用户资料不被窃取?

安全组件内部有强大的安全沙箱,通过多种反破解手段,能有效抵御各种破解技术和分析工具的破解和分析。对于用户的秘钥,安全组件专业版还有专用的白盒加密和白盒签名,秘钥在客户端完全不可见,从根本上解决了密匙被窃取的问题。

16.安全组件如何进行人机识别功能的生效?

  1. 客户端需要接入专业版的安全组件,使用特定的人机识别接口。
  2. 服务端需要对接聚安全指定的TOP接口。

17.如果使用了安全组件后,还是被破解了用户资料等丢失怎么办?

安全组件安全性很高,如果出现破解,建议用户更换密钥,或者使用专业版的白盒功能。

FAQ

关于此文档暂时还没有FAQ
返回
顶部