Android应用程序开发者第三方数字证书签名验证和标识规范 v1.1
| 文件名称 | Android应用程序开发者签名规范-v1.1-20140911.pdf |
| 文件大小 | 1.76 MB |
| 版本 | 1.1 |
| 发布日期 | 2014 年 9 月 3 日 |
| 下载次数 | 5246 times |
| 类别 | 技术资料 |
在移动应用程序开发环节嵌入恶意代码,或通过篡改正常应用程序嵌入恶意代码,是目前制作移动恶意程序的主要手段。采用依法设立的第三方电子认证服务机构(CA)签发的代码签名证书对移动应用程序进行数字签名,能够保证开发者的身份真实可信,签名具有法律效力。数字签名技术可以有效防止移动应用程序被非法篡改,并对移动应用程序的开发者有效溯源。
基于Android系统移动应用程序占移动应用程序多数的现状,根据《工业和信息化部 公安部 工商总局关于印发打击治理移动互联网恶意程序专项行动工作方案的通知》(工信部联保〔2014〕153号)中关于开展移动互联网应用程序开发者第三方数字证书签名与验证试点工作的要求,为了支持移动应用程序开发者利用第三方数字证书进行签名、验证,以及在应用商店、移动安全软件、手机终端等对利用第三方数字证书签名的移动应用程序进行验证和标识展示,特制订本规范。
本规范适用于移动应用程序开发者、应用商店、移动安全软件厂商、移动终端厂商,实现移动应用程序的签名、验签及标识展示。移动应用开发者向依法设立的CA机构申请代码签名证书并对自己开发的移动应用程序签名,可以有效避免移动应用程序被假冒或篡改,保障自身利益和合法权益。应用商店、移动安全软件厂商、移动终端厂商可以确保分发和安装的移动应用软件开发者身份真实可信,并对恶意软件开发者有效溯源,防范和打击恶意软件。通过应用商店、移动安全软件和移动终端上的数字签名认证标识展示,普通用户可以确认移动应用程序开发者身份真实可信、来源可靠,减少受恶意应用或假冒应用侵害危险。