TAF084.1—2021安卓应用程序认证签名技术规范第1部分数字签名应用要求.docxVIP

ICS33.050

M30

团 体 标 准

T/TAF084.1-2021

安卓应用程序认证签名技术规范第1部分：数字签名应用要求

AuthenticationsignaturespecificationforAndroidApplications—Part1:Applicationspecificationofdigitalsignature

2021-05-12发布 2021-05-12实施

电信终端产业协会发布

T/TAF

T/TAF084.1-2021

PAGE\*ROMAN

PAGE\*ROMANIII

目 次

前言 II

引言 III

范围 1

规范性引用文件 1

术语和定义 1

缩略语 2

签名应用要求 2

概述 2

整体架构 2

应用流程 3

身份认证流程 3

签名和查验流程 4

CA认证要求 6

APP签名服务系统功能要求 6

签名要求 6

签名内容要求 6

验签和同步要求 6

查验和展示要求 6

前 言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是T/TAF084《安卓应用程序认证签名技术规范》的第1部分。T/TAF084已发布了以下部分：

——第2部分：数字证书格式规范；

——第3部分：数字签名格式规范。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、华为技术有限公司、小米通讯技术有限公司、荣耀终端有限公司、OPPO广东移动通信有限公司。

本文件主要起草人：邓佑军、刘陶、武林娜、吴怡、衣强、刘琼、周圣炎、刘俊伟、赵晓娜、侯振靖、梁顺龙。

引 言

近年来，安卓应用程序各种违法违规问题层出不穷，不光给消费者造成经济上的损失、隐私上的侵扰，也给移动互联网行业造成了不安全、不可信的危机。安卓应用程序签名者向依法设立的电子认证服务机构申请APP签名证书并对自己开发的、检测的、分发的安卓应用程序签名，可以有效避免安卓应用程序被假冒或篡改，保障自身利益和合法权益。

本文件作为安卓应用程序认证签名技术规范的第1部分，旨在对相关方在安卓应用程序数字签名活动中提供指导。

T/TAF

T/TAF084.1-2021

PAGE

PAGE5

安卓应用程序认证签名技术规范第1部分：数字签名应用要求

范围

本文件定义了安卓应用程序签名过程中各参与方的工作机制的操作流程。

本文件适用于安卓应用程序开发者、检测者、分发者、终端厂家和APP签名服务系统运营者，实现安卓应用程序的签名、验签及标识展示。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/TAF084.2-2021安卓应用程序认证签名技术规范第2部分：数字证书格式规范T/TAF084.3-2021安卓应用程序认证签名技术规范第3部分：数字签名格式规范

术语和定义

下列术语和定义适用于本文件。

3.1

数字证书digitalcertificate

数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字标识。由电子认证服务机构依据一定的认证规则进行认证后签发，数字证书包含拥有者信息、拥有者公开密钥、签发机构信息、有效期以及一些扩展信息。

3.2

认证签名authenticationsignature

利用数字证书来参与数字签名活动的行为称为认证签名。

3.3

安卓应用程序androidapplication

安卓应用程序（简称APP）是指APK、SDK、快应用、小程序形式的等可运行或集成在安卓系统中应用程序。

3.4

开发者applicationdeveloper

从事APP研发和运营的个人或者机构。

3.5

检测者applicationTester

从事APP合规性检测的机构，一般具有相关检测方面的能力或资质。

3.6

分发者applicationdistributor

从事APP分发管理的机构，如应用商店运营者、APP下载网站运营者等。

3.7

签名者applicationsigner

对APP进行签名的相关角色，包括开发者、检测者和分发者。

3.8

APP签名服务系统APPsignatureservicesystem

为签名者、应用分发平台和应用检测平台提供APP签名、验签和签名者数据服务的