T∕TAF 084.1-2021 安卓应用程序认证签名技术规范 第1部分：数字签名应用要求

ICS33.050M30团体标准T/TAF084.1-2021安卓应用程序认证签名技术规范第1部分：数字签名应用要求AuthenticationsignaturespecificationforAndroidApplications—Part1:Applicationspecificationofdigitalsignature2021-05-12发布2021-05-12实施电信终端产业协会发布T/TAF084.1-2021I目次前言..................................................................................II引言.................................................................................III1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14缩略语...............................................................................25签名应用要求.........................................................................25.1概述...............................................................................25.2整体架构...........................................................................25.3应用流程...........................................................................35.3.1身份认证流程...................................................................35.3.2签名和查验流程.................................................................45.4CA认证要求.........................................................................65.5APP签名服务系统功能要求............................................................65.6签名要求...........................................................................65.7签名内容要求.......................................................................65.8验签和同步要求.....................................................................65.9查验和展示要求.....................................................................6T/TAF084.1-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是T/TAF084《安卓应用程序认证签名技术规范》的第1部分。T/TAF084已发布了以下部分：——第2部分：数字证书格式规范；——第3部分：数字签名格式规范。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、华为技术有限公司、小米通讯技术有限公司、荣耀终端有限公司、OPPO广东移动通信有限公司。本文件主要起草人：邓佑军、刘陶、武林娜、吴怡、衣强、刘琼、周圣炎、刘俊伟、赵晓娜、侯振靖、梁顺龙。T/TAF084.1-2021III引言近年来，安卓应用程序各种违法违规问题层出不穷，不光给消费者造成经济上的损失、隐私上的侵扰，也给移动互联网行业造成了不安全、不可信的危机。安卓应用程序签名者向依法设立的电子认证服务机构申请APP签名证书并对自己开发的、检测的、分发的安卓应用程序签名，可以有效避免安卓应用程序被假冒或篡改，保障自身利益和合法权益。本文件作为安卓应用程序认证签名技术规范的第1部分，旨在对相关方在安卓应用程序数字签名活动中提供指导。T/TAF084.1-20211安卓应用程序认证签名技术规范第1部分：数字签名应用要求1范围本文件定义了安卓应用程序签名过程中各参与方的工作机制的操作流程。本文件适用于安卓应用程序开发者、检测者、分发者、终端厂家和APP签名服务系统运营者，实现安卓应用程序的签名、验签及标识展示。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。T/TAF084.2-2021安卓应用程序认证签名技术规范第2部分：数字证书格式规范T/TAF084.3-2021安卓应用程序认证签名技术规范第3部分：数字签名格式规范3术语和定义下列术语和定义适用于本文件。3.1数字证书digitalcertificate数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字标识。由电子认证服务机构依据一定的认证规则进行认证后签发，数字证书包含拥有者信息、拥有者公开密钥、签发机构信息、有效期以及一些扩展信息。3.2认证签名authenticationsignature利用数字证书来参与数字签名活动的行为称为认证签名。3.3安卓应用程序androidapplication安卓应用程序（简称APP）是指APK、SDK、快应用、小程序形式的等可运行或集成在安卓系统中应用程序。T/TAF084.1-202123.4开发者applicationdeveloper从事APP研发和运营的个人或者机构。3.5检测者applicationTester从事APP合规性检测的机构，一般具有相关检测方面的能力或资质。3.6分发者applicationdistributor从事APP分发管理的机构，如应用商店运营者、APP下载网站运营者等。3.7签名者applicationsigner对APP进行签名的相关角色，包括开发者、检测者和分发者。3.8APP签名服务系统APPsignatureservicesystem为签名者、应用分发平台和应用检测平台提供APP签名、验签和签名者数据服务的管理系统。4缩略语下列缩略语适用于本文件。APK：Android应用程序包（Androidapplicationpackage）CA：证书认证机构（CertificateAuthority）SDK:软件开发工具包（SoftwareDevelopmentKit）5签名应用要求5.1概述签名是非对称密钥加密技术与数字摘要技术的相结合的一种常见技术，认证签名可表明签名者的身份真实可靠，签名者行为是本人意愿，签名具有防篡改、防抵赖等特性，广泛应用与社会生产生活实践中。APP通过认证签名应用，可以对APP进行溯源，减少违法违规应用给用户造成的侵害，同时还可以有效避免APP被假冒或篡改，保障开发者自身利益和合法权益，为安卓生态闭环管理提供了安全信任基础。5.2整体架构APP认证签名体系整体架构分为四层，第一层是签名角色层。包括开发者、检测者和分发者。在APP签名活动中，数字证书表明了他们具备开展APP活动的身份和能力，签名代表了他们在开展活动中的行T/TAF084.1-20213为。第二层是签名服务层。签名服务层由证书服务系统和APP签名服务系统组成，证书服务系统为签名角色层提供身份认证服务，身份认证通过后签发数字证书，APP签名服务系统为签名角色层提供APP签名服务、为APP管理层提供APP签名数据同步服务。第三层APP管理层。由应用分发平台和应用检测平台组成，实时从APP签名服务系统中同步APP签名数据，在开展APP管理过程中，负责上架审核、更新审核管理和应用检测等，同时为APP应用层提供APP查验服务。第四层是APP应用层、是指APP实际安装和运行的终端系统，在安装前从应用分发平台查验APP的分发来源和相关意见。APP认证签名整体架构如图1所示。图1APP认证签名整体架构图5.3应用流程5.3.1身份认证流程签名者在开展APP签名活动前，首先向APP签名服务系统中的电子认证服务机构申请电子认证，由电子认证服务机构审核并发放专用的APP签名数字证书。身份认证流程如图2所示。T/TAF084.1-20214图2身份认证流程图a）签名者按照电子认证服务机构的相关要求，准备实名认证所需的材料。b）签名者在APP签名服务系统注册账号，按照流程填报相关信息并上传相关身份证明材料。c）签名者根据申请的证书类型和数量，支付相应的认证及服务费用。d）签名者通过APP签名服务系统向电子认证服务机构提交认证申请。e）电子认证服务机构受理、审核、制作完成数字证书后，通过邮寄或现场交付等方式发放给签名者。f）签名者接收到数字证书后，在APP签名服务系统中进行确认，完成签名者CA身份认证。5.3.2签名和查验流程应用分发平台和应用检测平台在开展APP管理活动前，应先通过APP签名服务系统实现APP签名数据实时同步。签名和查验流程如图3所示。T/TAF084.1-20215图3签名和查验流程图a）开发者在开发完成或更新APP后，在APP签名服务系统中上传APP并完成开发者签名。b）开发者向应用分发平台提交APP上架申请，由应用分发平台查验APP是否经过开发者签名，无签名时，引导开发者申请CA认证并完成签名。完成签名后，应用分发平台审核APP资质及其他要求。c）应用分发平台向应用检测平台提交APP合规性检测。（可选，不申请则跳到第h步）d）应用检测平台查验APP是否经过开发者签名，无签名时，引导开发者申请CA认证并完成签名。完成签名后，应用检测平台根据相关检测依据对APP进行合规性检测。e）应用检测平台检测完成后，检测者在APP签名服务系统上传应用检测信息进行检测者签名。f）应用分发平台查验检测者的应用检测信息。g）应用分发平台在APP上架审核过程中参考检测者的应用检测信息。h）应用分发平台完成APP上架审核。T/TAF084.1-20216i）分发者在APP签名服务系统中上传应用分发信息并对APP进行分发者签名。j）应用分发平台对APP进行上架展示。k）终端系统通过应用分发平台下载APP。l）终端系统安装APP。如果APP安装时无安装界面，则直接安装，如果APP安装时有安装界面，则需要查验APP是否存在开发者或分发者的签名信息。查验渠道包括应用分发平台、应用检测平台和终端云管理平台。5.4CA认证要求a）签名者在签名前应向电子认证服务机构如实提交申请材料并签订电子认证服务协议，申请电子认证。b）电子认证服务机构应按照公开发布的《电子认证业务规则》对签名者进行身份鉴证，并按照《T/TAF084.2-