期貨市場(chǎng)作為國(guó)民經(jīng)濟(jì)高質(zhì)量發(fā)展的“穩(wěn)定器”，是我國(guó)現(xiàn)代金融體系的重要組成部分。隨著數(shù)字化轉(zhuǎn)型的深入、移動(dòng)互聯(lián)網(wǎng)的普及，各大期貨市場(chǎng)紛紛建設(shè)各類業(yè)務(wù)App，為會(huì)員單位、客戶提供更便捷的期貨交易服務(wù)。由于用戶的終端環(huán)境、網(wǎng)絡(luò)環(huán)境不可控，各大期貨交易市場(chǎng)為了保障業(yè)務(wù)App的安全運(yùn)行，不斷強(qiáng)化終端安全防護(hù)能力，為數(shù)字化業(yè)務(wù)構(gòu)筑安全防線。

項(xiàng)目背景

某期貨交易所（以下簡(jiǎn)稱“D交易所”）是經(jīng)國(guó)務(wù)院批準(zhǔn)并由中國(guó)證監(jiān)會(huì)監(jiān)督管理的期貨交易所之一。為落實(shí)活躍期轉(zhuǎn)現(xiàn)交割方式，降低現(xiàn)場(chǎng)交割服務(wù)成本，D交易所建設(shè)了交割移動(dòng)業(yè)務(wù)App。為了保障交割移動(dòng)業(yè)務(wù)的安全性，D交易所希望為App構(gòu)筑三道安全防線：

1.第一道防線：多因素認(rèn)證

為了保證期貨交割業(yè)務(wù)的安全性，D交易所希望將App的認(rèn)證方式由“用戶名+密碼”升級(jí)為多因素認(rèn)證，全面提升身份認(rèn)證的安全性。

2.第三道防線：認(rèn)證系統(tǒng)自保護(hù)

想在移動(dòng)終端上安全的進(jìn)行多因素認(rèn)證，App的認(rèn)證系統(tǒng)需要完善的自我保護(hù)機(jī)制，具備設(shè)備信息標(biāo)識(shí)、信息加密、終端位置態(tài)勢(shì)感知等能力：

·設(shè)備信息標(biāo)識(shí)：收集終端設(shè)備信息，準(zhǔn)備標(biāo)識(shí)設(shè)備身份，識(shí)別非常用設(shè)備登錄等威脅；

·信息加密：對(duì)身份信息、交易信息進(jìn)行加密存儲(chǔ)、傳輸，避免信息遭劫持后被破譯、篡改；

·終端威脅態(tài)勢(shì)感知：感知終端設(shè)備的安全狀況，保證App在安全的終端中運(yùn)行，避免設(shè)備帶病入網(wǎng)。

3.第三道防線：滿足合規(guī)要求

作為重要的期貨交易市場(chǎng)，D交易所對(duì)合規(guī)性也有硬性要求，方案和產(chǎn)品必須符合相關(guān)國(guó)標(biāo)、行標(biāo)，保證完全自主可控。

方案設(shè)計(jì)

針對(duì)D交易所的要求，芯盾時(shí)代基于完備的身份認(rèn)證、終端安全產(chǎn)品線，結(jié)合豐富的金融行業(yè)終端安全項(xiàng)目經(jīng)驗(yàn)，采用自主研發(fā)的移動(dòng)社身份認(rèn)證、設(shè)備指紋、智能終端密碼模塊、終端威脅態(tài)勢(shì)感知能產(chǎn)品，為其構(gòu)筑體系化、自保護(hù)、更可靠的身份認(rèn)證體系。方案功能與設(shè)計(jì)如下：

1.身份認(rèn)證SDK：集成在交割移動(dòng)業(yè)務(wù)App之中，提供短信驗(yàn)證碼、人臉識(shí)別、語(yǔ)音驗(yàn)證碼等多種認(rèn)證方式；

2.設(shè)備指紋SDK：自動(dòng)采集設(shè)備特征，為每一臺(tái)終端設(shè)備生成唯一的設(shè)備識(shí)別碼；

3.智能終端密碼模塊：以SDK形式集成在App之中，綜合用戶身份信息、設(shè)備信息生成唯一的密鑰，對(duì)身份信息等關(guān)鍵敏感數(shù)據(jù)進(jìn)行加密，并借助白盒算法、安全沙箱保證密鑰的安全存儲(chǔ)和調(diào)用；

4.終端威脅態(tài)勢(shì)感知模塊：以SDK形式集成在App之中，智能感知終端設(shè)備的安全態(tài)勢(shì)，識(shí)別模擬器、攻擊框架等終端威脅。

客戶價(jià)值

改造完成后，D交易所為交割移動(dòng)業(yè)務(wù)App構(gòu)筑了三道環(huán)環(huán)相扣的安全防線，建立了可靠的身份認(rèn)證體系，不但保證了身份認(rèn)證的安全性，還構(gòu)筑了立體、完備的終端安全防線，為業(yè)務(wù)安全提供了有力的支撐。

1.實(shí)施多因素認(rèn)證，身份認(rèn)證更安全

借助芯盾時(shí)代的身份認(rèn)證SDK，交割移動(dòng)業(yè)務(wù)App為用戶提供短信驗(yàn)證碼、人臉設(shè)別、語(yǔ)言驗(yàn)證碼等多種認(rèn)證方式，兼顧了安全性和便捷性，獲得了客戶的好評(píng)。

2.精準(zhǔn)標(biāo)識(shí)設(shè)備，賬戶設(shè)備強(qiáng)綁定

芯盾時(shí)代結(jié)合機(jī)器學(xué)習(xí)技術(shù)，采用新算法提升設(shè)備指紋的適配性，抑制傳統(tǒng)設(shè)備指紋容易發(fā)生的指紋漂移和指紋沖突，準(zhǔn)確率高達(dá)99%以上。借助設(shè)備指紋強(qiáng)大的設(shè)備標(biāo)識(shí)能力，D交易所實(shí)現(xiàn)了用戶賬戶與設(shè)備的強(qiáng)綁定，能夠識(shí)別用非法登錄，保障交易安全。

3.敏感數(shù)據(jù)加密處理，保證信息機(jī)密性

借助智能終端密碼模塊，交割移動(dòng)業(yè)務(wù)App能夠在用戶首次激活設(shè)備時(shí)，創(chuàng)建創(chuàng)建包含身份信息、設(shè)備信息的密鑰，對(duì)身份信息、短信驗(yàn)證碼等敏感關(guān)鍵數(shù)據(jù)進(jìn)行加密，保證信息傳輸、存儲(chǔ)過程中的安全性，防止信息被劫持、破譯、篡改。

為了保證密鑰的安全，智能終端密碼模塊采用白盒算法保護(hù)密鑰和數(shù)字證書存儲(chǔ)及運(yùn)行過程安全，采用應(yīng)用安全沙箱配合獨(dú)立進(jìn)程保護(hù)，在終端形成獨(dú)立的軟件數(shù)據(jù)防護(hù)區(qū)域，讓身份認(rèn)證更加安全。

4.感知終端威脅，避免設(shè)備帶病入網(wǎng)

智能終端密碼模塊具備終端威脅感知能力，內(nèi)置模擬器檢測(cè)270+款，雙開程序檢測(cè)40+，以及攻擊框架、調(diào)試狀態(tài)、高危軟件、Root/越獄等獨(dú)有檢測(cè)技術(shù)，能夠準(zhǔn)確評(píng)估設(shè)備安全基線，避免帶病設(shè)備入網(wǎng)。

5.自主知識(shí)產(chǎn)權(quán)，滿足合規(guī)要求

芯盾時(shí)代的全線產(chǎn)品具有完全知識(shí)產(chǎn)權(quán)，支持國(guó)產(chǎn)密碼算法，滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)、密碼應(yīng)用安全性測(cè)評(píng)，以及金融行業(yè)各種監(jiān)管文件、國(guó)標(biāo)、行標(biāo)的要求，完全滿足了D交易所的合規(guī)要求。

芯盾視點(diǎn)

隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的深入，金融機(jī)構(gòu)不斷建設(shè)新的業(yè)務(wù)應(yīng)用，提升業(yè)務(wù)的數(shù)字化、移動(dòng)化水平。在建設(shè)新應(yīng)用的同時(shí)，金融機(jī)構(gòu)應(yīng)按照《網(wǎng)絡(luò)安全法》的要求，保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用，保證數(shù)字化業(yè)務(wù)安全穩(wěn)定運(yùn)行。D交易所基于芯盾時(shí)代的設(shè)備指紋、智能終端密碼模塊等產(chǎn)品和方案，構(gòu)筑了體系化、自保護(hù)、更可靠的身份認(rèn)證體系，在金融行業(yè)終端安全建設(shè)方面樹立了標(biāo)桿。