感谢您的反馈!
-
用户反馈
用户反馈
网络异常,请重新提交!
重新提交
阿里聚安全安全组件提供了SDK供开发者接入,通过实现多层次的安全机制,打造安全沙箱环境来防止应用被黑客或木马攻击,防止客户端机密信息泄露,客户端请求伪造,通过人机识别和服务端大数据检验应用运行环境和风险,是一套保证移动平台应用完整性,应用执行环境可信性,数据机密性的专业安全解决方案。
ARM标准版约增大300k。
基本安全功能需要1~2个工作日。如果需要接入人机识别和风控,需要服务端额外的的开发和联调。
简要步骤:
安全组件兼容armv5、armv7、x86、arm64等平台,同时兼容Android SDK 2.3~6.0的所有版本。
推荐的兼容性方案是只接入armv5版本,其余平台均默认兼容。
支付宝、手机淘宝、来往、阿里钱盾等阿里主要应用都接入了安全组件,一直非常稳定。
主要使用的接口是安全签名、安全加密、安全存储、防重打包检测、模拟器检测、root检测、人机识别等。
安全组件不会修改客户的任何代码。
安全组件不包含任何广告以及其他与安全组件本身业务功能无关的插件。
安全组件默认会收集设备固定的、通用的信息以及客户端的版本和PackageName等,如屏幕尺寸、ROM大小、是否是模拟器、是否ROOT等等。 安全组件的数据收集是分级可定制的,也可关闭的(需要业务接洽)。安全组件收集数据主要是用来作风险预测和防控。
对应用App,安全组件目前十分稳定,一般无需额外的维护。如果出现版本升级,直接替换现有的安全组件文件即可,接口完全兼容,应用自身代码无需改动。
另外,聚安全网站提供了应用当前的风控级别已经各项安全指数,客户可以通过这些数据来实时监控当前风险。
优势:
弱势:因为安全性考量,安全组件的体积较大(300K左右)。
主要看是否和服务端有联动,如果客户端加密的数据需要服务端解密,那么服务端就可以使用对应的jar包进行解密。如果客户端签名的数据服务端需要验证签名,那么服务端就可以使用对应的jar包进行签名验证。如果只是客户端本地的加解密,那么就不需要使用服务端的jar包了。
安全签名的密钥是聚安全后台所分配,我们会将分配的密钥与服务端的jar包提供给开发者进行服务端的验签集成。
安全组件内部有强大的安全沙箱,通过多种反破解手段,能有效抵御各种破解技术和分析工具的破解和分析。对于用户的秘钥,安全组件专业版还有专用的白盒加密和白盒签名,秘钥在客户端完全不可见,从根本上解决了密匙被窃取的问题。
安全组件安全性很高,如果出现破解,建议用户更换密钥,或者使用专业版的白盒功能。