ICS 33.050 M 30 团体标 准 T/TAF 084.1 -2021 安卓应用程序认证签名技术规范 第1部分：数字签名应用要求 Authentication signature specification for Android Applications — Part 1: Application specification of digital signature 2021- 05 - 12发布 2021 - 05 - 12实施 电信终端产业协会 发布 T/TAF 084.1 -2021 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 2 5 签名应用要求 ................................ ................................ ......... 2 5.1 概述 ................................ ................................ ............... 2 5.2 整体架构 ................................ ................................ ........... 2 5.3 应用流程 ................................ ................................ ........... 3 5.3.1 身份认证流程 ................................ ................................ ...3 5.3.2 签名和查验流程 ................................ ................................ .4 5.4 CA认证要求 ................................ ................................ ......... 6 5.5 APP签名服务系统功能要求 ................................ ............................ 6 5.6 签名要求 ................................ ................................ ........... 6 5.7 签名内容要求 ................................ ................................ .......6 5.8 验签和同步要求 ................................ ................................ .....6 5.9 查验和展示要求 ................................ ................................ .....6 T/TAF 084.1 -2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 T/TAF 084 《安卓应用程序认证签名技 术规范》的第1部分。T/TAF 084 已发布了以下部 分： ——第2部分：数字证书格式规范 ； ——第3部分：数字签 名格式规范 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、小米通讯技术有限公司、荣耀终端有 限公司、 OPPO广东移动通信有限公司。 本文件主要起草人：邓佑军、刘陶、武林娜、吴怡、衣强、刘琼、周圣炎、刘俊伟、赵晓娜、侯振 靖、梁顺龙。 T/TAF 084.1 -2021 III 引 言 近年来，安卓应用程序各种违法违规问题层出不穷，不光给消费者造成经济上的损失、隐私上的侵 扰，也给移动互联网行业造成了不安全、不可信的危机。安卓应用程序签名者向依法设立的电子认证服 务机构申请 APP签名证书并对自己开发的、检测的、分发的安卓应用程序签名，可以有效避免安卓应用 程序被假冒或篡改，保障自身利益和合法权益。 本文件作为安卓应用程序认证签名技术规范的第 1部分，旨在对相关方在安卓应用程序数字签名活 动中提供指导。 T/TAF 084.1 -2021 1 安卓应用程序认证签名技术规范 第1部分：数字签名应用要求 1 范围 本文件定义了安卓 应用程序签名过程中各参与方的工作机制的操作流程。 本文件适用于安卓应用程序开发者、检测者、分发者、终端厂家和 APP签名服务系统运营者，实 现安卓应用程序的签名、验签及标识展示。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/TAF 084.2 -2021 安卓应用程序认证签名技术规范 第2部分：数字证书格式规范 T/TAF 084.3 -2021 安卓应用程序认证签名技术规范 第3部分：数字签名格式规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 数字证书 digital certificate 数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字标识。 由电子认证服务机构依据一 定的认证规则进行认证后签发，数字证书包含拥有者信息、拥有者公开密钥、签发机构信息、有效期以 及一些扩展信息。 3.2 认证签名 authentication signature 利用数字证书来参与数字签名活动的行为称为认证签名。 3.3 安卓应用程序 android applic ation 安卓应用程序（简称 APP）是指APK、SDK、快应用、小程序形式的等可运行或集成在安卓系统中应 用程序。 T/TAF 084.1 -2021 2 3.4 开发者 application developer 从事APP研发和运营的个人或者机构。 3.5 检测者 application Tester 从事APP合规性检测的机构，一般具有相关检测方面的能力或资质。 3.6 分发者 application distributor 从事APP分发管理的机构，如应用商店运营者、 APP下载网站运营者等。 3.7 签名者 application signer 对APP进行签名的相关角色，包括开发者、检测者和分发者。 3.8 APP签名服务系统 APP signature service system 为签名者、应用分发平台和应用检测平台提供 APP签名、验签和签名者数据服务的管理系统。 4 缩略语 下列缩略语适用于本文件。 APK：Android应用程序包（ Android application package ） CA：证书认证机构（ Certificate Authority ） SDK: 软件开发工具包（ Software Development Kit ） 5 签名应用要求 5.1 概述 签名是非对称密钥加密技术与数字摘要技术的相结合的一种常见技术， 认证签名可表明签名者的身 份真实可靠，签名者行为是本人意愿，签名具有防篡改、防抵赖等特性，广泛应用与社会生产生活实践 中。APP通过认证签名应用，可以对 APP进行溯源，减少违法违规应用给用户造成的侵害，同时还可以 有效避