芯盾时代多因素身份认证MFA_移动终端安全

芯盾时代多因素身份认证MFA

芯盾时代多因素身份认证产品Multi factor authentication（MFA）采用密钥分割、SSE、设备指纹等技术，与移动安全认证系统协同，实现在移动终端的密钥、数字证书全生命周期管理及密码运算，解决了加密硬件在移动端使用不便问题，提升了移动安全解决方案的兼容性和易用性，支持用户信息管理、身份认证，有效解决了金融行业的钓鱼短信、盗转盗刷等业务风险。

立即咨询

首页 > 产品中心 > 终端安全 > 芯盾时代多因素身份认证MFA

产品简介

芯盾时代移动身份认证 icon

利用创新的设备指纹、生物指纹、大数据指纹技术，对现有身份验证方式进行革命性的创新，为金融、政府、互联网及各行各业提供更安全、免密、智能的身份认证服务。

账号+密码

安全性：单因素认证，安全级别非常低，易受拖库撞库、社会工程学、口令窃取等攻击。灵活性：普适性身份认证方式。

账号+密码+验证码

安全性：伪双因素认证，安全级别低，易受验证码盗取攻击。灵活性：简单方案，使用广泛。2015年验证码市场规模达50亿。

账号密码+U盾

安全性：双因素认证，安全级别高，可抵御现有攻击。灵活性：移动端使用体验差，2015年U盾市场规模近100亿。

芯盾身份认证

安全性：多因素认证，安全级别高，可抵御现有攻击。灵活性：直接利用移动终端进行身份认证，用户体验最优。

主要功能包含

终端安全防护

集合了密钥拆分、白盒密钥、本地数据隐身、终端环境风险检测、环境安全清场等技术。为终端密钥的安全存储使用，提供了根本的保障。终端环境风险检测配合环境清场技术，实现对终端环境的多项信息采集，结合大数据分析技术，形成完整的终端安全防护体系。

设备指纹

通过基于底层设备硬件的指纹算法，结合后台设备库及实时获取的的海量特征信息，为设备产生全球唯一ID，确保设备ID的唯一性，抑制冲突率和漂移率。

安全沙箱

提供了在终端设备中的安全存储环境，完善了对分割密钥等重要关键数据在操作系统中的安全存储及使用。

核心技术组成

MFA的核心功能是通过安全的方式生成密钥，并通过对密钥的加密，验签实现操作安全。

结论：可以信任通过一个已验证的方式认证一个新事物。

设备指纹技术

1. 主动式静态特征采集

应用层特征信息，浏览器内核特征，操作系统kernel特征，终端硬件型号标识，音视频处理能力特征， CPU计算能力特征 ……

2. 被动式静态特征采集

协议栈信息， HTTP协议信息，时钟偏移特征，字符集特征，语言编码特征，缓存数据特征 ……

3. 动态设备指纹生成

基于有监督、无监督机器学习技术，对海量样本设备信息进行大数据分析和学习建模，自动发现和学习设备指纹生成模型，形成动态设备指纹。

设备指纹技术

通过构造运算获取的计算能力特征，不同型号的同类硬件模块，计算能力不可能相同；相同型号、相同批次的硬件模块，也会由于制造过程中不可避免的工艺偏差，导致计算能力存在偏差。相对静态特征而言，对硬件计算能力的评估不容易被攻击程序篡改，但难度也指数级上升。

设备指纹技术

设备指纹被动式特征获取，丝毫不依赖终端SDK，仅通过服务端OSI七层解析，提取操作系统、协议栈和网络状态相关的特征，并结合机器学习算法的多维信息交叉对比，标识和跟踪具体的设备。

设备指纹技术

关联设备硬件、软件、网络、行为等信息，通过有监督、无监督机器学习算法，实时生成动态设备指纹：实时大数据多维度计算，主动式多维信息交叉对比，相似度模型算法，特征匹配标识算法，差异化设备指纹算法，海量设备机型特征库。基于深度学习训练后的模型，可以很好适应系统升级、系统复位、应用权限变化等场景带来的设备特征变化。通过深度学习，可以自动发现和学习设备指纹生成模型，极大提高设备指纹的准确性，抑制冲突率和漂移率。

SSE技术说明

终端安全防护控件SSE (Software Secure Element)实现了终端安全环境的建立，并实时监测终端所面临的环境风险，安全的存储和使用保存在SSE下的各类密钥文件。

SSE功能介绍——SSE的算法功能 icon

SSE以静态库或动态库形式提供给其他产品进行功能集成

国密算法

对称算法：SM4，非对称算法：SM2，摘要和MAC算法：SM3摘要算法。

非国密算法

对称算法：AES128、DES/2DES/3DES，非对称算法：RSA、EC，摘要和MAC算法：MD5、SHA1、SHA256、SHA512。

算法功能

数据安全存储功能

白盒加密算法对数字证书和私钥进行安全存取。

密钥管理

提供终端密钥管理功能，包括密钥的产生，存储，使用，访问的安全认证。通过密钥标识实现密钥产生，密钥使用，密钥访问认证。

数字证书管理功能

SSE提供证书请求的生成、证书的导入以及证书的使用。导入的证书提供加密和验签功能，分为根CA证书、CA证书、服务器证书，用户证书。

多层密钥加解密功能

基于SSE提供的算法功能，实现数据的安全加解密，设置多层密钥体系。

SSE多层密钥体系

环境检测及风险防控

1. 检测终端Root/越狱
检测Android手机是否root，检测iOS是否已被越狱。

2. 检测模拟器环境
准确识别市面上270余款Android模拟器。

3. 检测攻击框架
基于ptrace的Frida框架，基于虚拟机注入的xposed框架等。

4. 检测调试状态
识别ios和Android调试状态，防止在高权限下的注入攻击。

5. 检测高危软件
遍历用户软件列表，检测用户沙盒环境，准确定位用户设备是否包含高危软件。

6. 检测代理服务器
检测用户网络环境状态，是否采用VPN或其他代理方式，保障通信安全。

7. 检测黑名单设备库
基于设备指纹，收集存在恶意行为的设备列表，阻止黑名单设备的恶意行为。

8. 检测运行沙箱状态
检测沙箱运行状态，如遭到攻击或篡改，可及时通知用户并且阻止非正常业务进行。

指纹登录及验证

芯盾指纹登录是一个金融级安全的基于生物识别技术的可信身份认证服务，可应用于如下典型应用场景：

高频认证场景：具有高频认证场景的应用,比如手机银行、手机证券APP。

高安全操作场景：在银行账户转账场景下的双因子认证，可以替代短信认证码，与用户数字证书结合，实现合规的大额支付。

业务风控场景：在移动APP业务里涉及的身份冒用、账户保护和营销保护等各种业务风控场景。

用户授权场景：在电子合同签署场景，与数字证书结合实现可信电子签名，满足合规性要求。

指纹登录及验证关键技术 icon

TEE=Trusted Execution Environment（基于芯片硬件级安全防护方案）

ARM TrustZone机制分离REE与TEE两个独立世界，因此TEE也是基于芯片硬件级的安全防护。

基于硬件的RoT（Root-of-Trust）。

安全能力：TUI、安全存储、加解密和 SE访问等 TEE高优先级控制外设。

可以防止手机Root&刷机后的数据盗取。

三对密钥：出厂预制两对密钥，手机端和支付宝端各保持对方的一把公钥，用来建立通道。

第三对是每次注册时生成，做比对结果校验。

指纹登录使用场景

芯盾指纹方案与手机系统指纹方案对比 icon

芯盾指纹方案优势

最广泛的手机数量/品牌覆盖度，实现指纹手机全覆盖。

精确指位比对。

比手机系统指纹更安全，防攻击、防篡改、系统被Root依然可用。服务器授权和双向认证保证安全。

基于硬件安全能力的安全保护。

标准自主可控 – 标准制定/检测认证/厂商支持。

拥有巨大规模的用户使用案例，安全、稳定、可靠、便捷。

应用场景

移动设备环境安全

对Android设备、iOS设备的多个设备环境风险点检测，判断终端设备是否存在应用双开、手机ROOT、木马、病毒等设备环境风险，保障终端业务运行环境安全。

本地证书密钥保护

基于白盒沙箱、终端环境检测、设备指纹等功能，提供了在终端设备中的安全存储环境，完善分割密钥等关键数据在操作系统中的安全存储及使用。

重要信息签名验签

提供基于国产算法或国际算法的信息签名验签服务。

钓鱼短信风险防范

通过多因素认证产品将手机打造成移动U盾，实现符合电子签名法的移动安全基线，确保移动终端的安全，有效解决钓鱼短信风险。

产品特色

移动交易安全

通过设备指纹、终端环境安全、威胁防御等技术，实现所知、所持、所有的移动多维联合认证，确保移动交易的安全性。

国密安全认证

具有国密产品认证证书，支持SM2/SM3/SM4/SM9等国密算法，具有纯软件、低成本、易推广的特点，用户密钥抗窃取，认证机制易升级。

在线设备指纹

基于底层设备硬件的指纹算法，结合后台设备库及实时获取的海量特征信息，生成设备ID，确保设备唯一性，抑制冲突率和漂移率，解决传统设备ID易被篡改的问题。

可信安全环境

通过软件SE技术，在手机终端创建可信安全沙箱，综合使用内存保护、存储保护、访问控制、防读取复制等技术，模拟硬件SE安全运行，确保静态存储及动态运行时的安全性。

指纹方案场景1-免密登录 icon

指纹方案场景2-免密授权 icon

指纹方案场景3-双因素认证 icon

产品推荐查看更多>>

瑞星终端威胁检测与响应系统EDR

EDR 技术旨在加强终端威胁检测和响应取证能力，能够快速检测、识别、监控和处理终端事件，从而在威胁尚未造成危害前进行检测和阻止，帮助受保护网络免受零日威胁和各种新出现威胁的侵害。防护范围包括桌面计算机、笔记本电脑、移动设备和服务器等，以及这些设备上的操作系统、应用程序和数据。

快速检测

追踪溯源

事件调查

勒索防御

立即咨询查看详情

UCS统一内容安全架构

UCS统一内容安全架构基于统一的企业数据安全策略，通过指纹技术，数据分类，实时安全扫描等先进的数据安全技术，对企业各种数据内容进行全方位的保护。

功能完备

安全可靠

立即咨询查看详情

百度应用加固与安全检测系统

百度应用加固与安全检测系统是百度安全旗下一款面向智能终端应用的安全加固产品和服务，拥有代码保护、数据加密、运行时防护等数十项加固能力，可全面提高智能终端应用的安全指数，同时满足工信部及各地方监管部门的合规需求。

高安全性

强兼容性

性能优越

服务专业

立即咨询查看详情

数字化社区查看更多>>