近幾年移動(dòng)技術(shù)的發(fā)展出現(xiàn)了新變化。一方面，多設(shè)備、全場景下的應(yīng)用智能互聯(lián)、大屏流轉(zhuǎn)需求涌現(xiàn)層出不窮；另一方面，隱私合規(guī)成為剛需，移動(dòng)應(yīng)用需要主動(dòng)應(yīng)對合規(guī)問題。終端安全始終處于攻防邊界的最前沿，這些新變化也給終端安全風(fēng)險(xiǎn)帶來了新挑戰(zhàn)。

面向新趨勢，螞蟻安全實(shí)驗(yàn)室投入研發(fā)端邊云協(xié)同風(fēng)控技術(shù)，將其作為螞蟻智能風(fēng)控技術(shù)體系 IMAGE 的重要組成部分。近日，螞蟻終端安全技術(shù)負(fù)責(zé)人萬小飛對積淀6年之久的螞蟻終端安全能力作了全景式介紹，首次揭秘「螞蟻終端安全立體防區(qū)」三層技術(shù)架構(gòu)，并完整分享了基于端邊云協(xié)同的螞蟻終端安全風(fēng)控體系構(gòu)建思路。

以下是萬小飛的分享內(nèi)容：

▼

《面向隱私保護(hù)的下一代可信端云協(xié)同技術(shù)體系探索》

在移動(dòng)互聯(lián)網(wǎng)生態(tài)發(fā)展過程中，終端安全也經(jīng)歷了漫長的發(fā)展過程。隨著移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)邊界和規(guī)模的不斷擴(kuò)大，終端風(fēng)險(xiǎn)變得更分散，更隱蔽，也更具多樣性。在多元化的移動(dòng)生態(tài)下，終端安全面臨以下幾個(gè)挑戰(zhàn)：

第一個(gè)挑戰(zhàn)，平衡安全和體驗(yàn)。在互聯(lián)網(wǎng)公司，安全和風(fēng)控往往本身并不直接創(chuàng)造業(yè)務(wù)價(jià)值或商業(yè)收益，而是助力業(yè)務(wù)發(fā)展，為業(yè)務(wù)健康發(fā)展護(hù)航。而在護(hù)航的過程當(dāng)中，企業(yè)所付出的資源和投入，以及風(fēng)控給用戶帶來的打擾，三者如何平衡？隨著業(yè)務(wù)規(guī)模的指數(shù)級擴(kuò)大，此類矛盾問題逐步凸顯。在今天多元化的移動(dòng)生態(tài)下，風(fēng)控成本和用戶體驗(yàn)的平衡將成為各大公司的首要挑戰(zhàn)。

第二個(gè)挑戰(zhàn)，實(shí)現(xiàn)風(fēng)險(xiǎn)前置與精準(zhǔn)防控。風(fēng)控系統(tǒng)在做風(fēng)險(xiǎn)提示時(shí)，從登錄到交易，在整個(gè)鏈路過程中，我們的防控到底在哪個(gè)位置？登錄前提醒還是交易過程中提醒？提醒得是否精準(zhǔn)？模棱兩可的風(fēng)控決策只會給用戶造成更大的困擾。要做到精準(zhǔn)識別，對風(fēng)控來說是非常大的挑戰(zhàn)。

第三個(gè)挑戰(zhàn)，滿足數(shù)據(jù)安全和隱私保護(hù)的需求升級。這個(gè)變化使安全和風(fēng)控正在面臨顛覆性的沖擊。行業(yè)有一句俗話說“無數(shù)據(jù)不風(fēng)控”，面對國家監(jiān)管和整個(gè)生態(tài)對數(shù)據(jù)隱私、個(gè)人信息保護(hù)的逐步升級，風(fēng)控安全和數(shù)據(jù)獲取方面會形成挑戰(zhàn)。

綜合看來，我們認(rèn)為近年來互聯(lián)網(wǎng)安全和風(fēng)控最大的挑戰(zhàn)，是數(shù)據(jù)的隱私合規(guī)和個(gè)人信息保護(hù)。在此背景下整個(gè)互聯(lián)網(wǎng)安全和風(fēng)控，尤其是終端安全又是如何演進(jìn)的？

一、螞蟻終端安全的三個(gè)階段

針對以上幾個(gè)核心問題，我將重點(diǎn)分享螞蟻終端安全如何持續(xù)升級對抗和治理體系。從總體來講，整個(gè)過程分為三個(gè)階段：

第一個(gè)階段，升級終端攻防對抗。這是大家對于傳統(tǒng)終端安全最直接的理解。隨著移動(dòng)互聯(lián)網(wǎng)興起，誕生了移動(dòng)安全；繼而隨著風(fēng)險(xiǎn)形態(tài)的演進(jìn)，逐漸進(jìn)化到終端安全。

今天我們所談的終端安全，并沒有特別官方的定義。我的理解是，在業(yè)務(wù)實(shí)踐中，將發(fā)生在終端設(shè)備（包括IoT設(shè)備、手機(jī)設(shè)備等泛終端，同時(shí)涵蓋了Web時(shí)代H5網(wǎng)頁這一端）上的風(fēng)險(xiǎn)和安全問題定義成終端安全。終端風(fēng)險(xiǎn)發(fā)生在業(yè)務(wù)的最前端，此類風(fēng)險(xiǎn)最大的特點(diǎn)，是具有強(qiáng)攻防對抗屬性。

端上的攻防對抗有很多場景，比如通過注入和定制rom，來達(dá)到篡改人臉攝像頭等原數(shù)據(jù)；通過篡改關(guān)鍵信息從而達(dá)到篡改設(shè)備身份的目的，最后實(shí)現(xiàn)業(yè)務(wù)上的欺騙。所以早期階段，我們通過不斷增強(qiáng)端上的對抗能力，實(shí)現(xiàn)業(yè)務(wù)的第一層防護(hù)，這也是終端安全必須做好的本職工作。

第二個(gè)階段，探索端云協(xié)同階段。端云協(xié)同是在Edge Computing（邊緣計(jì)算）思想的影響下，利用端云各自的優(yōu)勢在安全風(fēng)控上的一個(gè)創(chuàng)新，整體來看也經(jīng)歷幾個(gè)階段的發(fā)展。

1. 端云協(xié)同的第一階段，探索的依然是安全與體驗(yàn)的平衡問題。為了保障業(yè)務(wù)安全，在云端的計(jì)算消耗大量計(jì)算資源，通常和業(yè)務(wù)規(guī)模和復(fù)雜度成正比。但典型的在互聯(lián)網(wǎng)尤其是電商行業(yè)的大促活動(dòng)中，網(wǎng)絡(luò)流量會出現(xiàn)爆發(fā)式的增長，根據(jù)日常流量設(shè)計(jì)的機(jī)器容量和防控策略在面對流量爆發(fā)有兩種選擇，直接放過，或增加機(jī)器以應(yīng)對流量洪峰。由于大促周期通常不長，后一種策略會產(chǎn)生極大的資源浪費(fèi)。

今年是天貓雙十一大促的第14年。前些年我們也碰到過這種問題，到了2016年，我們開始探索將云端的部分計(jì)算下放到端上。我們的一個(gè)發(fā)現(xiàn)是，終端計(jì)算能力基本上可以頂?shù)蒙?年前的 PC 計(jì)算能力。然而，如果決策都下放到端上，信息的不對稱性被打破，會增加防控難度。所以選擇哪些計(jì)算、策略模型去下放，我們有一套非常嚴(yán)格的論證標(biāo)準(zhǔn)和端上防護(hù)體系保駕護(hù)航。

2. 端云協(xié)同的第二階段，是隨著小程序生態(tài)興起而發(fā)展起來的。很多商戶把小程序當(dāng)成類似瀏覽器的展示平臺，業(yè)務(wù)邏輯和數(shù)據(jù)在自己的服務(wù)器上，并不經(jīng)過螞蟻的云端風(fēng)控系統(tǒng)。在這個(gè)背景下，我們開始在端上構(gòu)建小程序的風(fēng)險(xiǎn)治理體系，來保障我們平臺上的小程序安全，端云協(xié)同的聯(lián)合風(fēng)控模式開始出現(xiàn)。

3. 端云協(xié)同的第三階段，是在近年來國家對數(shù)據(jù)隱私的管控升級背景下發(fā)展起來的。云端的風(fēng)險(xiǎn)治理，僅基于端內(nèi)信息往往不足夠，我們可以通過在端上構(gòu)建一些模型，刻畫用戶行為；在數(shù)據(jù)并不出端的情況下，完成對風(fēng)險(xiǎn)的識別和治理。

第三個(gè)階段，推進(jìn)終端可信階段。APP搭載在終端，我們所能獲取的權(quán)限以及所能看到的世界是非常狹隘的。終端在用戶手里（當(dāng)然也在黑產(chǎn)分子手里），黑產(chǎn)分子通過終端看到的視角比APP上多很多，可以通過定制硬件設(shè)備以及操作系統(tǒng)，獲取的更為寬泛的權(quán)限和信息，可謂是“上帝視角”。因此整個(gè)防控過程當(dāng)中，攻守方處于極度不平衡的狀態(tài)，防控相對被動(dòng)，被別人追著打。這個(gè)過程中，互聯(lián)網(wǎng)風(fēng)控唯一的優(yōu)勢，就是防控體系是在云端，會有信息不對稱帶來的優(yōu)勢。

舉幾個(gè)簡單的例子，移動(dòng)安全領(lǐng)域常見的設(shè)備篡改、虛假設(shè)備使用比如像模擬器等，對于互聯(lián)網(wǎng)廠商而言，如果通過大數(shù)據(jù)各種方式去識別這種風(fēng)險(xiǎn)，就非常被動(dòng)，即使識別出，黑產(chǎn)會有各種各樣的方式繞過你。然而對于設(shè)備認(rèn)證以及真假設(shè)備識別，互聯(lián)網(wǎng)廠商是有非常強(qiáng)勁的手段保證最原始的可信。

再舉一個(gè)例子，在基于LBS的業(yè)務(wù)防控中，比如說我們希望用戶去商店掃一個(gè)碼就會得到禮券，但如果無法正確獲取到設(shè)備的位置，此類營銷活動(dòng)就會面臨很大的沖擊。目前設(shè)備位置的獲取成為一個(gè)隱私問題，互聯(lián)網(wǎng)公司面對這類風(fēng)險(xiǎn)很被動(dòng)；反觀設(shè)備廠商，在這一點(diǎn)上很容易實(shí)現(xiàn)。廠商可以不透傳真實(shí)位置是什么，但是告訴APP這個(gè)位置的真實(shí)性是否被篡改過。

我們把終端的安全能力做了比較大的抽象，通俗來講，和終端廠商合作保證從終端發(fā)起的請求是「真實(shí)的用戶，在真實(shí)的設(shè)備上，帶著真實(shí)的目的，發(fā)出的真實(shí)請求」。對應(yīng)的就是身份可信，設(shè)備可信，環(huán)境可信，請求可信。基本上實(shí)現(xiàn)了這幾點(diǎn)，整個(gè)終端安全基礎(chǔ)就得到了保障。有一大批風(fēng)險(xiǎn)都跟這幾個(gè)可信相關(guān)，像黃牛通過技術(shù)手段對茅臺搶購、演唱會搶票秒殺，本身可能是一個(gè)惡意的請求，即這個(gè)請求不是從終端設(shè)備發(fā)起的請求，而是通過腳本、接口直接調(diào)用。

請求不可信會帶來如數(shù)據(jù)爬蟲、數(shù)據(jù)泄露，造成秒殺帶來的業(yè)務(wù)結(jié)果不公平。因此，終端安全必須保證幾個(gè)比較基礎(chǔ)的安全可信，云端風(fēng)控可以將更多的精力聚焦在業(yè)務(wù)相關(guān)的防控，而不是這些基礎(chǔ)的防控上。

作為傳統(tǒng)基于數(shù)據(jù)的風(fēng)控模式的補(bǔ)充，我們當(dāng)時(shí)把思路投向了手機(jī)廠商，通過和手機(jī)廠商合作，構(gòu)建軟硬結(jié)合的安全基礎(chǔ)設(shè)施?？尚胖虚g件AntDTX是在這個(gè)思路和理念下的一個(gè)具體探索。

二、螞蟻終端立體防控體系技術(shù)架構(gòu)的演進(jìn)

從業(yè)務(wù)流量流動(dòng)的視角，我們根據(jù)螞蟻集團(tuán)副總裁兼首席技術(shù)安全官韋韜首創(chuàng)的安全平行切面架構(gòu)思想，將整個(gè)互聯(lián)網(wǎng)風(fēng)控分成了幾大防區(qū)。流量從移動(dòng)終端開始，經(jīng)過APP發(fā)出業(yè)務(wù)請求，進(jìn)入網(wǎng)關(guān)，最后進(jìn)入到業(yè)務(wù)服務(wù)器；對應(yīng)地我們也將防控分為幾個(gè)防區(qū)：

最下面的防區(qū)，我們把它定義成前面提到的和生態(tài)手機(jī)廠商合作的生態(tài)防區(qū)；往上，就進(jìn)入我們的APP防區(qū)；流量請求從APP發(fā)出會進(jìn)入各自互聯(lián)網(wǎng)公司的網(wǎng)關(guān)，進(jìn)入流量層防區(qū)；再往上，就進(jìn)入到各大互聯(lián)網(wǎng)公司業(yè)務(wù)的服務(wù)器，我們定義為云端的防區(qū)。在整個(gè)探索過程中，我們逐步形成了端邊云的立體防控體系，今天我們在整個(gè)螞蟻安全風(fēng)控體系的99%場景里都部署了這套立體化防控體系。

整個(gè)端邊云立體的防控體系，在技術(shù)架構(gòu)中，被分成三大作戰(zhàn)區(qū)：

 “端”作戰(zhàn)區(qū)，核心思路是通過軟硬結(jié)合的方式，加固可信終端，來實(shí)現(xiàn)業(yè)務(wù)的第0環(huán)和第1環(huán)的防護(hù)。在端作戰(zhàn)區(qū)，有三個(gè)顯著特點(diǎn)：

第一個(gè)特點(diǎn)是動(dòng)態(tài)對抗。黑產(chǎn)比我們快，攻防的迭代和升級過程當(dāng)中不可避免會面臨版本發(fā)布。APP版本的發(fā)布都會有一定的周期，黑產(chǎn)會利用發(fā)布周期造成的版本碎片化，達(dá)到攻擊目的。所以我們探索了動(dòng)態(tài)對抗機(jī)制，動(dòng)態(tài)和策略體系隨著黑產(chǎn)的變化去調(diào)整。

第二個(gè)特點(diǎn)是無感接入?；ヂ?lián)網(wǎng)風(fēng)控大部分都是事件驅(qū)動(dòng)和事件接入的模式，在哪個(gè)業(yè)務(wù)點(diǎn)防控我們就去埋相應(yīng)的點(diǎn)，防控對整個(gè)業(yè)務(wù)侵入性是比較大的。我一直在思考，如何實(shí)現(xiàn)防控對業(yè)務(wù)的「無感化與無侵入」。這也是業(yè)務(wù)最想看到的，你保護(hù)我可以，但別天天打擾我。怎么實(shí)現(xiàn)無感的介入？通?；ヂ?lián)網(wǎng)APP是一系列互聯(lián)網(wǎng)請求組成打包的東西。對互聯(lián)網(wǎng)業(yè)務(wù)來講最小的力度就是業(yè)務(wù)請求、業(yè)務(wù)調(diào)用，也被稱為RPC。我們通過對設(shè)備和RPC染色，構(gòu)建設(shè)備和請求的DNA，從而實(shí)現(xiàn)在各個(gè)業(yè)務(wù)點(diǎn)的請求做無感的插入和埋點(diǎn)，這樣在整個(gè)客戶端就不需要針對各個(gè)業(yè)務(wù)場景做埋點(diǎn)。

第三個(gè)特點(diǎn)是軟硬結(jié)合。防區(qū)從APP深入到整個(gè)系統(tǒng)、硬件可信終端。這是整個(gè)端治理的體系過程中做的探索。

“邊”作戰(zhàn)區(qū)，業(yè)務(wù)請求離開APP進(jìn)入接入層，也就是邊。通常各類風(fēng)險(xiǎn)數(shù)據(jù)泄露的數(shù)據(jù)爬蟲、傳統(tǒng)的攻擊，都是發(fā)生在這個(gè)區(qū)域。在邊這一塊的防控體系，我們會對每個(gè)業(yè)務(wù)請求做一個(gè)卡口、管控。業(yè)務(wù)請求會帶著端上帶來的可信信息。這些信息有的是端上做的風(fēng)險(xiǎn)識別，有的是云端計(jì)算下發(fā)下去的。這些業(yè)務(wù)請求到達(dá)“邊”時(shí)，整個(gè)網(wǎng)關(guān)層會做精準(zhǔn)的防控和管控。

大家也能看到“邊”的作戰(zhàn)區(qū)更多的像一個(gè)引擎，在探索的過程中，我們將端和邊做了深度融合，在到達(dá)業(yè)務(wù)層之前做第一道風(fēng)險(xiǎn)過濾。這一層的風(fēng)險(xiǎn)獨(dú)立于具體的業(yè)務(wù)形態(tài)，更多是通用惡意流量的防控。比如，雖然還不知道你在云端打算干什么壞事，但已經(jīng)提前判斷你是壞人了。    

“云”作戰(zhàn)區(qū)，流量流到各自云端業(yè)務(wù)系統(tǒng)時(shí)會對應(yīng)不同的業(yè)務(wù)風(fēng)險(xiǎn)，在前置“端邊”還識別不出風(fēng)險(xiǎn)時(shí)，進(jìn)入到云端的風(fēng)險(xiǎn)防控體系做進(jìn)一步深度化、精細(xì)化的風(fēng)險(xiǎn)識別和決策。

在整個(gè)過程中，端邊云立體防控體系核心在于，風(fēng)險(xiǎn)在哪兒發(fā)生，就在哪兒進(jìn)行阻斷，突破了過往所有風(fēng)險(xiǎn)匯合到云端做統(tǒng)一處理的傳統(tǒng)模式，解決了業(yè)務(wù)防控準(zhǔn)確性和及時(shí)性，也節(jié)省了人力和資源。

在生態(tài)防區(qū)的探索過程中，我們聯(lián)合生態(tài)伙伴，發(fā)布了基于軟硬結(jié)合的終端可信中間件AntDTX。所謂的“軟”就是傳統(tǒng)終端安全以安全SDK為載體的防護(hù)體系；“硬”是利用了終端設(shè)備的硬件特性，借助TEE可信環(huán)境，可信存儲、可信機(jī)密計(jì)算的硬件體系去真正達(dá)到加固終端的步驟。

AntDTX致力于構(gòu)建終端安全和風(fēng)控的基礎(chǔ)設(shè)施，提供可信計(jì)算、可信存儲、可信模型推導(dǎo)、生物特征存儲和保護(hù)、一機(jī)一密等基礎(chǔ)保障，為面向未來的業(yè)務(wù)探索提供安全基礎(chǔ)服務(wù)。當(dāng)前的探索過程中，我們主要把應(yīng)用定義在三個(gè)方向上。

第一個(gè)方向，風(fēng)險(xiǎn)治理。我們今天在做類似反欺詐、反賭博業(yè)務(wù)時(shí)，依靠云端無法實(shí)現(xiàn)根源問題的解決。在端上構(gòu)建軟硬結(jié)合的可信中間件，實(shí)現(xiàn)了在無需用戶數(shù)據(jù)出端的前提下，在端上實(shí)現(xiàn)風(fēng)險(xiǎn)識別及用戶行為刻畫。

第二個(gè)方向，可信存儲。在今天大環(huán)境背景下，整個(gè)移動(dòng)設(shè)備和用戶個(gè)人身份是強(qiáng)綁定的。從早期的指紋支付、人臉支付、出門掃健康碼、手機(jī)銀行、電子圍欄，到近期的數(shù)字車鑰匙、數(shù)字門鑰匙等新興場景，很大程度上移動(dòng)終端設(shè)備已經(jīng)和用戶個(gè)人身份強(qiáng)綁定。由此衍生出來最大的訴求就是可信存儲，一機(jī)一密，可信計(jì)算等。

第三個(gè)方向，AIoT。我們都知道今天一些區(qū)塊鏈場景和IoT場景里，涉及類似于數(shù)據(jù)的可信獲取、可信上鏈，本質(zhì)上是利用了底層可信的存儲和計(jì)算能力等，來達(dá)到數(shù)據(jù)的可靠移動(dòng)。

AntDTX是我們在安全探索上的一個(gè)創(chuàng)新，我們希望通過發(fā)起相關(guān)的標(biāo)準(zhǔn)，喚起硬件廠商和硬件生態(tài)重視?；ヂ?lián)網(wǎng)生態(tài)對終端安全的強(qiáng)訴求，需要通過軟件、硬件，包括螞蟻開發(fā)的可信中間件的逐步標(biāo)準(zhǔn)化、開源化，實(shí)現(xiàn)整個(gè)生態(tài)協(xié)同，各方共同投入到這個(gè)體系的建設(shè)中來。從價(jià)值上來講，這些東西對整個(gè)生態(tài)以及各家APP廠商都是有價(jià)值的，它所解決的問題是我們APP廠商共同面臨的問題。

今天不同的APP廠商都在花很大的精力，各自獨(dú)立去解決這些共性的問題。我們希望通過AntDTX，能夠開啟端原生可信和共享安全的旅程，去喚起整個(gè)生態(tài)的重視，將各自的風(fēng)險(xiǎn)合并同類項(xiàng)，大家協(xié)力把這一塊基礎(chǔ)設(shè)施的建設(shè)縮到最小的范圍，以實(shí)現(xiàn)面向所有APP廠商的通用型服務(wù)。核心目的，是把與業(yè)務(wù)無關(guān)的風(fēng)險(xiǎn)沉淀在一起，通過整合模式集中解決。

三、終端安全的未來趨勢

最后想跟大家分享，基于我在螞蟻終端安全的實(shí)踐探索，我對未來終端安全技術(shù)方向和趨勢的一點(diǎn)思考。

首先，不可避免的隱私嚴(yán)格化。不管是APP廠商、硬件廠商還是整個(gè)國家的法律法規(guī)，對這一塊只有逐步趨嚴(yán)沒有放松的跡象。

第二，風(fēng)險(xiǎn)對抗動(dòng)態(tài)化。比如現(xiàn)在網(wǎng)頁的惡意內(nèi)容已經(jīng)實(shí)現(xiàn)了根據(jù)人群特點(diǎn)動(dòng)態(tài)呈現(xiàn)，比如會根據(jù)性別、城市、地理位置、場景差異做用戶區(qū)分，實(shí)現(xiàn)差異化動(dòng)態(tài)展示，這給內(nèi)容安全防控帶來了極大挑戰(zhàn)。

第三，流量入口多樣化。APP域外風(fēng)險(xiǎn)顯著提升，類似小程序的風(fēng)險(xiǎn)，嚴(yán)格意義上來講更應(yīng)該商戶自己去負(fù)責(zé)，但基于業(yè)務(wù)服務(wù)器上的風(fēng)險(xiǎn)歸屬問題，我們認(rèn)為更多的風(fēng)險(xiǎn)會發(fā)生在APP域外。

第四，更多風(fēng)險(xiǎn)在端上治理。不管是從成本的角度還是從隱私合規(guī)的角度，更多的風(fēng)險(xiǎn)不再單純依賴云端的治理體系，會聯(lián)合端上做綜合的治理。

第五，端原生可信逐漸成為行業(yè)標(biāo)準(zhǔn)。我們和手機(jī)廠商尋求合作時(shí)，希望能夠產(chǎn)生原生可信的終端安全基礎(chǔ)設(shè)施，供各家互聯(lián)網(wǎng)APP廠商去使用。原生可信或?qū)⒊蔀槎松习踩A(chǔ)設(shè)施和行業(yè)標(biāo)準(zhǔn)。

第六，可信終端設(shè)備，可能會成為整個(gè)數(shù)字世界里新的身份認(rèn)證手段。不管是指紋還是未來基于其他生物特征的身份認(rèn)證手段，都將推動(dòng)可信移動(dòng)終端成為互聯(lián)網(wǎng)用戶在整個(gè)數(shù)字世界里新的身份象征。

 

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。