期貨市場作為國民經濟高質量發展的“穩定器”，是我國現代金融體系的重要組成部分。隨著數字化轉型的深入、移動互聯網的普及，各大期貨市場紛紛建設各類業務App，為會員單位、客戶提供更便捷的期貨交易服務。由于用戶的終端環境、網絡環境不可控，各大期貨交易市場為了保障業務App的安全運行，不斷強化終端安全防護能力，為數字化業務構筑安全防線。

項目背景

某期貨交易所（以下簡稱“D交易所”）是經國務院批準并由中國證監會監督管理的期貨交易所之一。為落實活躍期轉現交割方式，降低現場交割服務成本，D交易所建設了交割移動業務App。為了保障交割移動業務的安全性，D交易所希望為App構筑三道安全防線：

1.第一道防線：多因素認證

為了保證期貨交割業務的安全性，D交易所希望將App的認證方式由“用戶名+密碼”升級為多因素認證，全面提升身份認證的安全性。

2.第三道防線：認證系統自保護

想在移動終端上安全的進行多因素認證，App的認證系統需要完善的自我保護機制，具備設備信息標識、信息加密、終端位置態勢感知等能力：

·設備信息標識：收集終端設備信息，準備標識設備身份，識別非常用設備登錄等威脅；

·信息加密：對身份信息、交易信息進行加密存儲、傳輸，避免信息遭劫持后被破譯、篡改；

·終端威脅態勢感知：感知終端設備的安全狀況，保證App在安全的終端中運行，避免設備帶病入網。

3.第三道防線：滿足合規要求

作為重要的期貨交易市場，D交易所對合規性也有硬性要求，方案和產品必須符合相關國標、行標，保證完全自主可控。

方案設計

針對D交易所的要求，芯盾時代基于完備的身份認證、終端安全產品線，結合豐富的金融行業終端安全項目經驗，采用自主研發的移動社身份認證、設備指紋、智能終端密碼模塊、終端威脅態勢感知能產品，為其構筑體系化、自保護、更可靠的身份認證體系。方案功能與設計如下：

1.身份認證SDK：集成在交割移動業務App之中，提供短信驗證碼、人臉識別、語音驗證碼等多種認證方式；

2.設備指紋SDK：自動采集設備特征，為每一臺終端設備生成唯一的設備識別碼；

3.智能終端密碼模塊：以SDK形式集成在App之中，綜合用戶身份信息、設備信息生成唯一的密鑰，對身份信息等關鍵敏感數據進行加密，并借助白盒算法、安全沙箱保證密鑰的安全存儲和調用；

4.終端威脅態勢感知模塊：以SDK形式集成在App之中，智能感知終端設備的安全態勢，識別模擬器、攻擊框架等終端威脅。

客戶價值

改造完成后，D交易所為交割移動業務App構筑了三道環環相扣的安全防線，建立了可靠的身份認證體系，不但保證了身份認證的安全性，還構筑了立體、完備的終端安全防線，為業務安全提供了有力的支撐。

1.實施多因素認證，身份認證更安全

借助芯盾時代的身份認證SDK，交割移動業務App為用戶提供短信驗證碼、人臉設別、語言驗證碼等多種認證方式，兼顧了安全性和便捷性，獲得了客戶的好評。

2.精準標識設備，賬戶設備強綁定

芯盾時代結合機器學習技術，采用新算法提升設備指紋的適配性，抑制傳統設備指紋容易發生的指紋漂移和指紋沖突，準確率高達99%以上。借助設備指紋強大的設備標識能力，D交易所實現了用戶賬戶與設備的強綁定，能夠識別用非法登錄，保障交易安全。

3.敏感數據加密處理，保證信息機密性

借助智能終端密碼模塊，交割移動業務App能夠在用戶首次激活設備時，創建創建包含身份信息、設備信息的密鑰，對身份信息、短信驗證碼等敏感關鍵數據進行加密，保證信息傳輸、存儲過程中的安全性，防止信息被劫持、破譯、篡改。

為了保證密鑰的安全，智能終端密碼模塊采用白盒算法保護密鑰和數字證書存儲及運行過程安全，采用應用安全沙箱配合獨立進程保護，在終端形成獨立的軟件數據防護區域，讓身份認證更加安全。

4.感知終端威脅，避免設備帶病入網

智能終端密碼模塊具備終端威脅感知能力，內置模擬器檢測270+款，雙開程序檢測40+，以及攻擊框架、調試狀態、高危軟件、Root/越獄等獨有檢測技術，能夠準確評估設備安全基線，避免帶病設備入網。

5.自主知識產權，滿足合規要求

芯盾時代的全線產品具有完全知識產權，支持國產密碼算法，滿足網絡安全等級保護、密碼應用安全性測評，以及金融行業各種監管文件、國標、行標的要求，完全滿足了D交易所的合規要求。

芯盾視點

隨著金融行業數字化轉型的深入，金融機構不斷建設新的業務應用，提升業務的數字化、移動化水平。在建設新應用的同時，金融機構應按照《網絡安全法》的要求，保證安全技術措施同步規劃、同步建設、同步使用，保證數字化業務安全穩定運行。D交易所基于芯盾時代的設備指紋、智能終端密碼模塊等產品和方案，構筑了體系化、自保護、更可靠的身份認證體系，在金融行業終端安全建設方面樹立了標桿。