0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

OPPO云密码本背后的安全技术:端云协同的安全密钥技术

ss 来源:粤讯 作者:粤讯 2020-12-01 17:20 次阅读

11月29日,OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以"应用与数据安全防护"为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与行业解决方案,推动安全生态的建设。

OPPO云密码本背后的安全技术:端云协同的安全密钥技术

前不久的2020 OPPO开发者大会,OPPO正式发布ColorOS 11。全新的ColorOS 11系统搭载OPPO端云协同的安全密钥技术。OPPO基于端云协同安全密钥技术为支撑,实现了用户密码的安全托管和安全同步。

OPPO端云协同的安全密钥技术以安全的跨平台自动同步、应用间互相隔离的独立密钥体系、OPPO无法解密和攻击者无法窥探为目标,构建安全的密钥管理方案,进而实现保护用户数据的目的。

我们来看看密钥的攻击入口有哪些。从密钥的生成、分发、使用、撤销、销毁、归档、备份、更新、存储的完整生命周期中可能遇到的攻击分析入手,最可能遭受攻击的是生成、传输、使用、存储阶段。OPPO端云协同的安全密钥技术,在设计上重点考虑在以上敏感阶段如何缓解可能遇到本地暴力破解、云端暴力破解、侧信道分析和中间人攻击、端侧渗透攻击、云端渗透攻击等常见类型攻击。

在端云协同的安全密钥技术使用的安全工具方面,主要通过硬件安全环境(SE、TEE、HSM集群)保障密钥的生成、使用安全,同时使用HTTPS、SRP、 E2E安全信道保障传输交互的安全性,并使用账号密码、安全密码、短信安全码、可信设备证书等诸多因子保证身份认证的安全性。

OPPO端云协同的安全密钥技术具备非常广泛的应用场景,例如对地图收藏、历史轨迹、个人浏览记录、浏览标签同步、屏幕使用时间等行为特征类数据的保护,以及对Wi-Fi密钥、蓝牙密钥、loT设备配对密钥等密钥类数据的保护。未来,OPPO端云协同的安全密钥技术会应用到更多的场景,为用户数据隐私保驾护航。

OPPO通过AES密钥白盒解决密钥安全问题

现如今,数据及信息安全已逐渐演变为密钥安全。如果密钥不安全,加密便形同虚设。目前,业内密钥安全需求主要包括核心技术保护、终端数据安全、防止密钥窃取和数据传输安全四个层面,AES密钥白盒的出现在一定程度上解决了密钥的安全问题。

白盒将密钥扩展并融入到了加密运算中,使得密钥在整个加密过程中不再明文出现,从而达到隐藏和保护的目的。白盒的实现方式主要有三种,分别是查找表技术、插入扰乱项和多变量密码。即使有了白盒的保护,密钥也并不绝对安全,白盒也面临着多种多样的攻击。

AES密钥白盒受到的攻击方式主要包括两种,一种是BGE攻击,另外一种就是DFA攻击。OPPO安全针对以上攻击方式,提供了扩展T-Box、随机置换、迭代混淆等多种防护方案,在性能保证的基础上更进一步保障密钥的安全。

除了AES算法之外,OPPO安全还深度研究了国密SM4、ECC、RSA等算法,在更多的安全技术探索和算法研究的基础上,为开发者和应用平台提供更优质的解决方案,携手保护用户隐私。

检测移动恶意应用与提升恶意行为检测能力

随着移动恶意应用的恶意行为和攻击方式愈加复杂,加固保护愈来愈多样化。当前,恶意行为的静态代码分析面临着程序化难度大、人力投入大、成本变高等难点,OPPO为应对以上难点并弥补静态检测的缺点,引入了动态检测的方法,从而更精准高效地检测出存在恶意行为的应用。

动态分析检测方法是对应用行为进行判断和检测。基于恶意行为的动态分析检测方法,应用很多时候都需要调用系统的API来执行各种功能。动态分析检测可以通过审查应用对系统API的调用序列和各API的调用参数以及API调用的背景环境,用明确的逻辑判断该应用是否有执行恶意行为。这样能够帮助开发者和应用平台对恶意扣费、恶意传播、资费消耗、间谍监控、隐私窃取等行为进行有效的检测,将恶意行为暴露,保护用户的隐私安全和财产安全。

在新型恶意攻击方式不断涌现、恶意软件自身行为持续演化、恶意软件对抗行为日益普遍的背景下,自然语言处理、深度学习智能化方法与程序分析技术不断发展并融合,激发出了多种基于智能化技术的恶意行为检测新思路。这些新技术的应用显著提升了恶意行为的检测能力,为移动生态的安全带来了更多的保障。

例如,面对新型攻击不断涌现,WebView新型恶意行为检测技术能够对App-to-Web攻击进行建模,并通过自动化检测工具发现多款新型恶意软件;面对恶意软件不断演化,通过对API语义的构建和利用,可以增强现有检测模型的可持续检测能力;面对对抗行为不断加剧,通过对轻量级敏感行为进行监控,可以对恶意行为进行高效检测。

OPPO在SDK安全质量保障方面的实践方案和移动应用安全实践

随着移动互联网的高速发展,移动应用中引入第三方SDK的数量剧增,而三方SDK往往会成为移动应用整体的安全短板。OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,落地了一套移动三方SDK安全质量保障实践方案。

针对三方SDK主要包括隐私合规检测、漏洞检测和恶意行为检测三个重点检测内容,OPPO采用静态污点分析技术, 将敏感数据标记为污点(Source点),然后通过跟踪和污点数据相关的信息的流向, 检测在关键的程序点(Sink点)是否会影响某些关键的程序操作,从而识别程序是否存在安全风险。

在技术维度,OPPO制定了"安全检测项-反射调用检测-黑名单库-安全检测报告"的三方SDK检测流程。

在安全流程的维度,OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,制定了"安全评审-黑名单匹配-安全扫描-人工审计"的三方SDK安全质量保障流程,保障OPPO终端安全应用的安全。

而面向移动应用安全,OPPO与参会的安全从业者交流了Android平台上的应用安全问题、安全技术发展以及OPPO在移动应用安全领域的行动和积累。

OPPO规划了三层次的移动应用安全平台整体架构。第一层是终端安全能力,包括安全加固和安全SDK;第二层是云端安全测评,包括文件扫描、广告检测、仿冒检测、漏洞扫描等等;第三层是行业安全解决方案,比如广告反作弊、广告反切量等等。

剖析安全风险、聚焦业务场景,OPPO为开发者和用户提供便捷、稳定、有效、全面的业务安全防护与用户隐私保护能力,并为此制定了清晰的规划:基础安全能力建设、用户隐私保护落地、移动端风控基础能力补齐、行业安全解决方案。

通过本期OPPO技术开放日,OPPO安全团队为到场的安全领域从业者和高校学生,详细解读了应用与数据安全防护,以及OPPO安全技术建设和相关成果。OPPO安全热切期待更多安全专家能够加入,一同为保护用户数据安全而努力,推动安全生态的建设。

责任编辑:xj

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    7002

    浏览量

    88943
  • OPPO
    +关注

    关注

    20

    文章

    5233

    浏览量

    78929
  • 云技术
    +关注

    关注

    1

    文章

    189

    浏览量

    18827
收藏 人收藏

    评论

    相关推荐

    办公电脑存储,办公电脑存储安全吗?

        电脑使用已成为热门的新型办公方式,得益于信息技术和互联网的普及,它摆脱了地理和硬件限制,可自由安排工作时间和地点。随着人们对工作生活平衡和环境可持续性的重视,远程办公未来定会受到更多青睐
    的头像 发表于 12-21 13:53 108次阅读
    办公电脑<b class='flag-5'>云</b>存储,办公电脑<b class='flag-5'>云</b>存储<b class='flag-5'>安全</b>吗?

    对称加密技术在实际应用中如何保障数据安全

    对称加密技术在实际应用中保障数据安全主要通过以下几个方面: 密钥安全性: 对称加密的安全性高度依赖于
    的头像 发表于 12-16 13:59 110次阅读

    托管可以操作数据库吗?安全性如何

    、备份和恢复、合规性以及监控和告警等。用户在使用托管时,仍需采取适当的安全措施,如使用强密码和定期更换密钥,以确保数据库的
    的头像 发表于 12-11 13:35 55次阅读

    计算安全性如何保障

    计算的安全性是一个复杂而多维的问题,涉及多个层面和多种技术手段。为了保障计算的安全性,需要采取一系列综合措施,以下是具体的保障方法: 一
    的头像 发表于 10-24 09:14 252次阅读

    如何理解计算?

    计算的工作原理是什么? 计算和传统IT技术的区别? 华纳如何帮助您实现计算? 什么是
    发表于 08-16 17:02

    龙芯中科“基于国产芯片级密码安全的新一代信创解决方案”入选2023年工信部信创典型案例

    近日,由工业和信息化部信息技术发展司和多地工信部门联合组织的2024信息技术应用创新发展大会暨解决方案应用推广大会在天津成功举办。大会现场,龙芯中科“基于国产芯片级密码安全的新一代信创
    的头像 发表于 07-22 15:34 1048次阅读
    龙芯中科“基于国产芯片级<b class='flag-5'>密码</b><b class='flag-5'>安全</b>的新一代信创<b class='flag-5'>云</b>解决方案”入选2023年工信部信创典型案例

    ESP是否可以接受ASCII十六进制的安全密钥来连接到AP,而不是密码

    ESP 是否可以接受 ASCII 十六进制的安全密钥来连接到 AP,而不是密码? 如果没有,可以将其添加到固件中吗?
    发表于 07-16 06:29

    计算安全技术与信息安全技术之间的关系

    一、引言 随着信息技术的快速发展,计算已成为企业和个人存储、处理和分析数据的重要方式。然而,计算的普及也带来了一系列安全问题。本文旨在探讨
    的头像 发表于 07-02 09:30 724次阅读

    安全的关键技术有哪些

    安全是确保计算环境中数据和应用程序安全的一种技术。随着计算的普及,云安全已成为企业和个人关
    的头像 发表于 07-02 09:20 642次阅读

    华为 618 营销季下一体化安全解决方案,打造高效、安全管理平台

    在全球智能化浪潮下,随着企业数字化转型的推进,企业面临的安全挑战会越来越多。如何守好“安全防线”,是企业创新发展亟需解决的问题。为此, 华为 618 营销季 带来了安全可靠的
    的头像 发表于 06-25 16:56 392次阅读

    基于红外成像技术安全监控平台解决方案

    你是否对安全监控平台的深度应用和红外成像技术充满好奇?红外成像技术安全监控平台的融合不仅能
    的头像 发表于 05-31 11:56 296次阅读
    基于红外成像<b class='flag-5'>技术</b>的<b class='flag-5'>安全</b>监控<b class='flag-5'>云</b>平台解决方案

    银行安全用电监管平台

    银行安全用电监管平台
    的头像 发表于 05-12 08:07 251次阅读
    银行<b class='flag-5'>安全</b>用电监管<b class='flag-5'>云</b>平台

    华为开年采购季下一体化安全解决方案,打造高效、安全管理平台

    随着数字化转型的加速,越来越多的企业正在拥抱互联网,将业务拓展到线上。然而,网络安全问题也随之凸显。如何守好“安全防线”,是企业创新发展亟需解决的问题。为此,华为开年采购季带来了安全
    的头像 发表于 03-15 17:43 425次阅读

    知语云全景监测技术:现代安全防护的全面解决方案

    是一种先进的安全防护手段,它集成了大数据分析、人工智能、计算等尖端技术,能够实时监测网络环境中的各种安全风险,为企业和个人的数据安全提供坚
    发表于 02-23 16:40

    LKT安全芯片密钥管理与分散过程简单描述

    密钥管理是数据加密技术中的重要一环,密钥管理的目的是确保密钥安全性(真实性和有效性)。
    的头像 发表于 02-23 13:43 443次阅读