【原生安全】打造纯净安全隐私无忧的鸿蒙原生应用+脱敏Part2.pdf

1、原生安全论坛基于HarmonyOS NEXT的终端安全全链路防护新的语言新的编译器新的架构新的UI原生 体系安全底座金融场景四位一体新平台新守护服务生态金融级安全支持HarmonyOS NEXT-全新的平台全方位支持HarmonyOS NEXT新语言与编译器的适配与开发代码安全与应用安全在保护隐私前提下的安全防护身份防护与端可信中间件长链路场景中多方参与的生态环境（业务安全）业务安全新平台带来新的挑战HarmonyOS NEXT 支付类APP安全能力与场景数据场景营销场景支付场景登陆场景账号盗用 恶意攻击可信设备-设备完整性、设备真实性免密登陆 免密支付可信摄像头、IIFAA金融场景应用身份仿

2、冒地理位置篡改 改机领券可信地理位置、Device Verify行为风险设备风险信息爬取 秒杀抢劵人机识别虚假用户(合作中)CC端场景DD端场景HarmonyOS安全能力终端安全全链路防护体系HarmonyOS-原生安全与隐私保护基础设施代码防护虚假APP-ArkTsNativeAPP防护虚假设备-设备指纹设备风险数据安全身份防护虚假身份-IIFAA指纹安全人脸端可信中间件端风险实时管理端数据隐私流通可信地理位置摄像头设备真实性完整性真实用户隐私保护终端安全-HarmonyOS 全周期防护体系业务防护虚假请求-反欺诈HarmonyOS 生态-应用厂商与开发平台金融类app政企类app互联网类a

3、pp三方开发平台mPaaSDCloud等代码安全APP加固代码压缩虚假控制流控制流平坦化字符串加密虚拟化更多功能ABCABC保护保护ArkTSC/C+目标语言加固后HAP二进制保护常量加密控制流平坦化分支伪造调用图混淆更多功能soso保护保护关键能力：ArkTS高强度源码混淆技术，有效抵御ABC文件逆向破解，强化安全防线 敏感数据保护，敏感数据URL、秘钥等通过加密隐藏技术，确保信息不外泄 对so的代码段、导出表及字符串加密压缩，阻断so文件逆向分析路径 多种C/C+源码保护功能，进一步提高so文件的安全性 灵活的加固方式，支持直接对HAP中的so进行加固，提升应用防御灵活性应用安全基于PDR

4、模型的主动防御机制感知系统级设备风险识别机制防护软硬结合的可信终端监管认证的金融级国密算法白盒加密可信签名可信执行环境设备环境风险应用运行风险一次性密码AI行为验证码可信行为验证可信设备令牌硬件TEE国密认证自研TA系统安全套件混淆编译隐私计算自研虚拟机密码学安全响应多种行为验证模式一机一密挑战应答机制风险释放机制注入Hook篡改假机识别位置篡改模拟识别密钥协商安全存储端处置端感知端防护密钥保护信封加密身份防护可信身份设备秘钥对 出 厂 前 预 置 校 验 设 备 合 法 性业务秘钥对 指 纹 注 册 开 通 安 全 相 机 初 始 化 时 生 成 确 保 终 端 上 行 数 据 来 源 可

5、信 且 未 被 篡 改IFAA SERVER 证书链 根 证 书 公 钥 预 置 于 I F A A T A 确 保 I F A A S e r v e r 下 行 指 令 来 源 合 法基于TEE 双向可信的终端身份安全防护方案IIFAAIIFAA TATA本地免密本地免密可信人脸可信人脸确保安全摄像头每一帧图像来源真实可信确保本地免密结果真实可信端隐私风控中间件HarmonyOS生态应用金融类app政企类app互联网类app隐私风控服务风险数据计算风控事件分析风控事件决策基础安全能力隐私风控 TA隐私沙箱隐私数据隔离访问控制密码学算法安全存储轻量隐私计算算法风控事件采集业务防护-同心共筑无

6、诈未来方正兰亭粗黑简体支付类应用电话/短信撒网添加SNS应用洗脑泛欺诈类应用下载发起交易屏幕共享伪造交易来源授权敏感权限短信、电话劫持悬浮窗遮挡交易电话/短信诱导恶意网址诱导远程控制账户生态合作联合创新为什么重要欺诈案件链路较长，通常达到支付环节已经失去对“犯罪现场”的感知黑灰产分工明确，配合紧密，需要加深对黑灰产生态的理解终端涉诈风险防控组件身份风险识别行为风险识别HarmonyOS基础安全能力安全威胁检测模型隐私数据隔离安全数据采集模型轻量隐私计算算法设备风险识别涉诈风险情报风险检测结果谢谢新HarmonyOS NEXT体系下小红书端安全防护实践目录 小红书小红书HarmonyHarmon