标准规范下载简介
T/TAF 084.3-2021 安卓应用程序认证签名技术规范 第3部分:数字签名格式规范.pdf简介:
T/TAF 084.3-2021,全称为安卓应用程序认证签名技术规范,是中国关于Android应用程序安全的一项标准。其中的第3部分主要关注数字签名格式规范。数字签名是确保软件来源可靠性和完整性的一种技术,它通过将软件与一个加密的签名关联起来,来验证软件的来源和防止被篡改。
该部分的简介可能包括以下内容:
1. 定义:对数字签名的定义,解释其在安卓应用程序中的作用,即如何通过签名来证明应用程序的来源和防止被恶意修改。
2. 格式:描述数字签名的通用格式,包括签名算法(如RSA、SHA-256等)、签名数据(通常包含应用程序的哈希值或元数据)和公钥信息。
3. 生成与验证:介绍如何生成数字签名,即应用程序开发者使用私钥对特定数据进行加密,以及接收方(例如用户或安全服务)如何使用公开的公钥来验证签名。
4. 安全性:讨论数字签名在安卓应用安全中的重要性,如防止恶意软件、保护用户隐私等。
5. 合规性:强调在安卓应用市场发布时,应用必须符合数字签名的规范,以通过审核并确保安全合规。
6. 更新管理:提及如何处理签名更新,以应对可能的签名密钥更换或应用程序更新。
请注意,具体细节可能会依据T/TAF 084.3-2021的官方文档进行。
T/TAF 084.3-2021 安卓应用程序认证签名技术规范 第3部分:数字签名格式规范.pdf部分内容预览:
电信终端产业协会发布
前言·· 引言 1范围 2规范性引用文件 3术语和定义 4缩略语. 5数字签名对象 6数字签名数据结构 6.1待签名数据 6.1.1头信息 6.1.2安卓应用程序信息 6.2签名信息. 7数字签名处理流程 7.1数字签名流程 7.2数字签名验证流程
安卓应用程序认证签名是利用公钥密码机制来保证应用程序的完整性和行为的不可伪造、不可否认 性。在实际应用中,安卓应用程序在生命周期中需经过开发、检测、分发等多个环节,每个环节都存在 完整性、不可伪造、不可否认性需求,从而需要对安卓应用程序多次签名并留痕。 本文件作为安卓应用程序认证签名技术规范的第3部分,旨在指导安卓应用程序相关方在开发、检 测、分发安卓应用程序时,采取相同的数据格式来对安卓应用程序签名,便于安卓应用程序在生命周期 的不同环节下签名互认。
本文件规定了基于安卓操作系统的应用程序数字签名格式规范、数学字签名对象规范、数学签名数据 机构规范等。 本文件适用于安卓应用程序相关方规范使用安卓应用程序数字签名格式。可用于指导专业机构、系
数据单元后面的数据SY/T 6901-2018 海底地震资料采集检波点定位技术规程,或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的 整性,保护数据不被篡改、伪造,并保证数据的不可否认性。
安卓应用程序androidapplication 安卓应用程序是指APK、SDK、快应用、小程序等可运行或集成在安卓系统中应用程序
下列缩略语适用于本文件。 APK:安卓应用程序包(Androidapplicationpackage) SDK:软件开发工具包(SoftwareDevelopmentKit)
安卓应用程序数字签名对象是安卓应用程序信息。包括应用名称、应用版本、应用开发者、应 值和签名者自定义数据。
安卓应用程序数字签名数据的逻辑结构见表1:
表1安卓应用程序数字签名数据结构
安卓应用程序数字签名类
待签名数据」签名信息时间戳
信息的结构如表3所示
6.1.2安卓应用程序信息
赣06ZJ704 可控百叶窗.pdf安卓应用程序信息的结构如表4所示!
应用名称应用版本应用开发者
固定值“AS” 版本号,当前版本固定为“1”。
签名信息的结构如表5
签名信息的结构如表5所示
应用程序数字签名流程如下: a)从应用程序中提取应用程序信息,组装成“待签名数据”。 b)签名者使用私钥对“待签名数据”做数字签名,组装成“签名信息”。 c)申请制作“签名信息”的时间戳。 d)将“待签名数据”、“签名信息”和时间戳组装成应用程序数字签名数据
7.2数字签名验证流程
应用程序数字签名验证流程如下: a)验证应用程序数字签名数据格式的正确性 ·根据数字签名数据结构格式来解析应用程序数字签名数据; :如果应用程序数字签名数据格式不正确,则验证失败并退出验证流程。 b)验证时间戳的正确性。 c)验证签名信息是否正确 ·从应用程序数字签名数据格式提取待验证数据,验证签名信息是否正确; ·如果签名信息不正确则验证失败,并将失败原因返回上层应用并退出验证流程。 d)验证签名者数字证书有效性 :从应用程序数字签名数据中获取签名者数字证书,验证签名者证书有效性,验证项至少包括: 证书信任链验证、证书有效性验证、证书是否被吊销、密钥用法是否正确; ·如果是由于证书信任链验证或密钥用法不正确导致的签名者证书有效性验证失败《公路路线设计规范》(JTG D20-2017)正式版.pdf,则返回失 败原因并退出验证流程; ·如果是由于证书有效期或证书状态已吊销导致的签名者证书有效性验证失败,则还需要进 步结合签名时间进行判断。签名时证书未吊销,签名后再被吊销,则证书有效.签名时证书 已吊销,则证书无效。 如果上述各步骤验证均有效,则签名验证结果为有效,可正常退出验证流程
电信终端产业协会团体标准 安卓应用程序认证签名技术规范第3部分:数字签名格式规范