绷缝机厂家
免费服务热线

Free service

hotline

010-00000000
绷缝机厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

给应用程序签发身份证

发布时间:2020-06-29 17:40:13 阅读: 来源:绷缝机厂家

图为工信部电信研究院泰尔终端信息安全部主任潘娟。

法治周末记者 马树娟

在工信部电信研究院力推的认证签名体系下,用户安装一款应用程序,就可以知晓这款应用的开发者是谁,如果应用出了问题,可以立刻追溯到开发者。

该认证签名体系的工作机制是什么?该体系对于促进移动应用市场有哪些作用?近日,法治周末记者就这些疑问,专访了负责该体系建设的电信研究院安全所泰尔终端实验室信息安全部主任潘娟。

法治周末:基于什么样的考虑,电信研究院开始牵头推动移动应用程序的第三方签名认证机制?

潘娟:之所以有推动建立第三方认证签名体系的设想,主要是由于目前市场上有很多恶意应用程序,尤其是在Android平台表现更为突出。

这主要是因为当前用于标识应用及开发者基本信息的数字证书不是由权威第三方机构发放的,应用开发者大多利用Android平台提供的签名工具生成自签名来发布应用程序。

在这种签名机制下,应用程序的开发可以自行决定签署什么样的名称,其可以如实签自己真实的姓名,也可以随意签其他的名号,同时签名的内容是不可信的,其能否进行追溯也是未知的。泰尔实验室在测试过程中就发现过签名为“谷歌”,有的用“debug”的应用程序,这样的签名根本没有意义,根本查不到是谁。

这样的签名机制由于没有办法去对开发者本人或者机构进行定位,也就难以追溯到恶意程序的开发者,这也是安卓平台恶意程序泛滥的一个重要原因,也引发了很多后续管理上的难题。

基于这样的考虑,电信研究院从2012年开始正式启动第三方认证签名体系的研究与推进工作,目前这一技术已经成熟。

法治周末:第三方签名认证机制都包含哪些内容,想实现什么样的目的?

潘娟:电信研究院目前搭建的第三方认证签名体系主要是想通过产业链上各个主体的推动,让整个产业链的各个主体都以真实的身份进行产业的开发。

由于应用程序的开发环节参与的人数非常大,同时还不断有新的开发者涌入,目前这一市场特别混乱,因此今年产业各方主要推动的是开发者认证签名工作。

所谓开发者认证签名是指开发者在设计完成一个应用程序后,向证书授证(Certificate Authority)中心(以下简称“CA机构”)申请认证,CA机构通过审核开发者的身份(个人开发者要提供身份证;企业开发者需要提供企业法人证明),可以为开发者颁发经过认证的证书,开发者就可以通过该证书对其开发的应用进行签名。

第三方认证签名就相当于是给开发者开发的应用程序签发了一个“身份证”,通过这个“身份证”可以追溯到开发者本人或者开发机构。

目前市场中出现很多山寨应用,比如就曾出现过山寨微信,试图窃取用户隐私,如果第三方认证签名推动起来,腾讯公司为其开发的所有应用程序都进行了认证签名,这个签名只能唯一识别腾讯公司,那么用户在下载时也会关注到这一点。而山寨微信要么不敢用第三方认证签名,要么用了经过认证的签名,由于签名真实可信,也可以追溯到开发者本人。那么通过认证签名,就可以为用户的决策提供依据。

此外还有检测机构认证签名和应用商店签名两个体系,这三者的技术架构都是一样的,一些技术细节经过各方讨论,目前都已经攻克。

法治周末:检测机构的认证签名和应用商店的认证签名主要包含哪些内容?

潘娟:目前有一些大的、市场认可度高的应用程序其实也经过一些检测机构进行安全监测,但是没有渠道将这一信息让用户和应用商店知晓,如果有了认证签名体系,检测机构也可以申请第三方机构的认证,然后用自己的证书为应用程序签名。终端用户和应用商店通过验签软件进行验签就可以知晓该应用的签名状态。

对于应用商店而言,现在很多应用程序也会在多个应用商店上线供用户下载,也出现过有的商店将应用程序重新打包,安装了广告插件,或者安装一些其他有损用户体验的内容,但是因为缺乏认证签名体系,应用商店也很难证明某款应用不是从其商店中被下载传播出去的。

现在一些大的应用商店也有意愿为从自己应用商店渠道分发出去的应用程序添加一个签名,如果将来某款带有其应用商店签名的程序出现问题,那么商店还可以承担一定的责任。如果不带有自己应用商店的签名,那么就必须为此担责。

法治周末:目前这一体系的推广情况如何?

潘娟:目前这一体系是参与各方自愿参与的,并不是强制性的,所以还有待于产业链上各方的共同推进,只有一个环节的努力是不行的。

比如终端的验签都做起来了,但是没有太多签名的应用,这个体系也就失去了意义;再如应用的签名都推进起来了,但是终端又不支持验签,那么认证签名也就失去了它的初衷和效果。

目前腾讯、百度、移动MM商城等都开始配合开展该体系的推广,一些手机制造厂商,如联想已开始实验一款手机,已经可以在应用程序安装过程中进行验签。

法治周末:第三方认证签名体系能否有效地解决目前移动应用程序市场上恶意应用泛滥的状况?

潘娟:第三方认证签名体系只是解决应用程序开发者“是谁”的问题,引导开发者以真实身份从事应用程序的开发,此举能够对移动应用市场有所净化,但是这一体系还缺乏对恶意程序的惩罚举措,还难以解决整个移动应用程序的所有安全问题,就如同工信部等多个部委开展打击恶意程序专项行动一样,要解决移动应用市场的安全问题,还要多管齐下。

看优酷vpn

网络VPN加速器