中国移动应用商场业务规范安全分册Service Specification-Security Partition版本号：1、0、0xx-4-27实施xx-4-27发布中国移动通信集团公司发布目录前言II1范围12规范性引用文件13术语、定义和缩略语13、1术语、定义13、2缩略语24业务概述35业务安全需求35、1业务安全威胁分析35、2业务安全需求分析45、3安全方案相关说明46阶段一安全方案56、1方案总体思路56、2安全功能描述66、3安全方案描述66、3、1MM安装包上架准备66、3、2用户统一登录流程76、3、3软件下载与安装流程106、3、4体验式计费安全方案136、3、5安全目标实现分析177安全方案过渡策略188编制历史19前言本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定，是保障Mobile Market业务安全开展的依据。

本标准主要包括业务安全需求、阶段一用户统一登录安全方案、阶段一软件下载安全方案及阶段一体验式计费安全方案等方面内容。

本标准是Mobile Market业务系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称[1]QB-D-145-xx中国移动应用商场业务平台总体技术要求[2]QB-D-146-xx中国移动应用商场业务平台业务规范[3]QB-D-147-xx中国移动应用商场业务平台设备规范[4]QB-D-148-xx中国移动应用商场业务平台接口规范[5]QB-D-149-xx中国移动开发者社区应用开发要求[6]QB-E-051-xx中国移动应用商场客户端规范[7]QB-F-018-xx中国移动应用商场业务规范安全分册本标准需与《中国移动应用商场业务平台总体技术要求》、《中国移动应用商场业务平台业务规范》和《中国移动应用商场业务平台设备规范》配套使用。

本标准由中移技〔xx〕106号印发。

本标准由中国移动通信集团公司数据部提出，集团公司技术部归口。

本标准起草单位：中国移动通信有限公司研究院。

本标准主要起草人：江为强、刘斐、彭华熹。

1 范围本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定，是保障Mobile Market业务安全开展的依据。

供中国移动内部和厂商共同使用，为中国移动提供业务开展的依据。

本标准适用于GSM/GPRS/EDGE/TD-SCDMA网络环境。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

[1]QB-D-145-xx中国移动应用商场业务平台总体技术要求中国移动通信集团公司[2]QB-D-146-xx中国移动应用商场业务平台业务规范中国移动通信集团公司[3]QB-D-147-xx中国移动应用商场业务平台设备规范中国移动通信集团公司[4]QB-D-148-xx中国移动应用商场业务平台接口规范中国移动通信集团公司[5]QB-E-051-xx中国移动应用商场客户端规范中国移动通信集团公司[6]RFC2617HTTP Authentication: Basic and Digest Access AuthenticationIETF3 术语、定义和缩略语3、1 术语、定义术语/定义解释Mobile Market（MM）MM是聚合各类开发者及其优秀应用，满足多类型终端客户实时体验、下载和订购需求的综合商场。

作为移动梦网二次创业，MM主要销售各类手机应用和数字商品。

MM客户端MM 管理器是浏览和下载MM应用的终端软件MM应用经过MM测试认证中心进行测试认证后，可交付给用户使用的手机终端应用。

应用是可安装、可执行的软件实体。

MM商品商品的是为了统计不同货架上产品的销售情况。

产品在上架之后即成为商品，商品是具有货架信息的某个产品。

开发者开发者特指原创个人，包括内容开发者、应用开发者。

开发者在MM的商业模式中处于价值链的顶端，为MM提供应用或者内容作品。

测试认证中心来自于开发者或AP的应用提交到MM的测试认证中心进行合格性测试，测试合格后签署中国移动认证签名，具备引入MM销售的资格平台能力API由中国移动将业务网络能力进行封装后开放的业务能力API，提供给应用开发者、第三方应用提供商进行应用开发。

如LBS能力、短信能力、彩信能力、飞信IM能力等平台应用能力网关用以为平台能力API（如鉴权订购API）提供统一的入口，用以检查用户及应用程序的身份及屏蔽真实的平台鉴权订购接口计费鉴权DLL该实体运行在用户终端中，用以封装应用程序访问网络能力API的调用及代理应用程序与MM平台进行交互，实现MM平台对应用程序的计费鉴权及权限校验统一登录仅通过一次登录，即可实现对多个安全联盟平台或对多个安全联盟子系统的自动安全访问的安全机制用户令牌用以实现用户统一登录的关键凭证MM统一登录服务平台MM业务中用以发布用户令牌及统一代理平台做令牌核对的实体体验式计费先试用后计费MM安装包即经过MM平台安全处理（主要是指经过平台签名后进行加密的安装文件）的、cmc格式文件平台证书由CA颁发向平台颁发的X、509数字证书软件签名值采用平台证书对软件进行签名后得到的数据，用以保证软件下载安装前的完整性及保证软件的来源正确性软件安装文件应用软件安装文件明文3、2 缩略语缩略语英文全称中文含义OTAOver The Air 空中、无线方式WAPWireless Application Protocol 无线应用协议 APApplication Provider 应用提供商 SPService Provider 服务提供商 CPContent Provider 内容提供商WWWWorld Wide Web 万维网 HTTPHyperText Transfer Protocol 超文本传输协议 APIApplication Programming Interface应用程序接口 SMSShort Message Service短消息服务 BOSSBusiness Operation Support System业务运营支撑系统URLUniform Resource Locator统一资源定位DRMDigital Rights Management 数字版权管理 MMMobile Market移动超市SDNService Develepor Network开发者社区CACertificate Authority数字证书认证中心APPIDApplication ID应用软件唯一标识IDAPPKEYApplication KEY应用软件密钥RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统4 业务概述MM业务是聚合各类开发者及其优秀应用，具有端到端服务质量保障，丰富客户体验，满足多类型终端客户实时应用下载需求的场所。

MM业务以中国移动统一的用户服务界面，定制的客户端应用管理和开发环境，向手机用户提供全过程的业务服务质量。

来自应用开发者、应用提供商、品牌应用商店的手机应用将通过开发者社区的渠道，进入MM统一的产品库。

同时，MM平台也可以作为运营商原有业务平台（如Widget平台、通用下载平台、游戏平台等）的销售渠道。

按照MM业务是否需要访问在线内容，可分为离线MM业务和在线MM业务；按照MM业务的来源平台，可分为来自移动原有业务平台的MM业务和来自开发者社区SDN的MM业务。

MM业务支持的终端软件平台包括Symbian、Kjava、MTK、Windows Mobile、Linux、Android等。

根据业务的部署安排，将业务实施时间分为两个阶段：阶段一（即xx年5月17日到xx年底）和阶段二（即xx年12月以后）。

本规范是针对阶段一的安全需求进行制定。

5 业务安全需求5、1 业务安全威胁分析MM业务在运营过程中存在的多种安全威胁，主要存在如下六方面：（1）软件代码安全威胁：开发者提交的软件可能存在BUG、恶意代码、安全漏洞等，这些软件没有经过严格审查，可能危害到系统的安全及用户的利益；（2）软件来源身份假冒：用户下载的软件可能并非来自中国移动MM 平台，而用户可能被欺骗误以为来该软件来自MM平台或恶意声称该软件来自MM 平台。

如果因使用该软件赞成损失，MM平台需要承担不应承担的责任；（3）软件完整性被破坏：该安全威胁分为以下两种：1）主动攻击（直接篡改）：软件在MM平台上、下载过程中、安装过程中、执行过程中可能被非法篡改，导致软件完整性被破坏。

最终用户使用的软件可能被植入恶意代码、破坏软件计费点或篡改版权。

直接损害了用户和运营商的利益；2）被动攻击（间接篡改）：攻击者可能在平台上、下载过程中、终端存储区中非法获取软件安装文件，经过篡改后（主要是篡改版权），散布到互联网上或重新注册到MM平台上，从而直接损害软件开发者的版权；（4）数据被非法窃取：该威胁分为以下两点：1）软件被非法窃取：攻击者可能在平台上、下载过程中、终端存储区中非法获取安装文件，从而散布到互联网上或直接绕过计费环节，损害运营商的利益、开发者的版权；2）用户信息被非法窃取：如果攻击者在平台上、下载等环节窃取用户的个人信息，从而使用户的隐私和合法权益受到侵害。

此外，由于MM平台与其它多个平台（游戏平台、Widget平台、无线音乐平台等）进行镜像，用户与不同平台进行交互来提交身份标识和密码等信息，容易造成信息外泄；（5）内容类数据版权被破坏：攻击者通过非法获取内容类数据（音乐、视片、图片、动漫等）或安全数据、篡改权限信息等来破坏内容类数据的版权保护机制。

从而对内容提供者及运营商的利益造成侵害；（6）用户身份假冒：非法用户可能假冒合法用户的身份与MM平台进行交互，从而绕过计费或从事破坏系统安全的活动。

5、2 业务安全需求分析目标安全方案需要满足所有需求:图5、1 业务安全总体需求表其中，阶段一需求描述如下所示：第一点，软件的平台认证需求，即用户可确认软件是来自中国移动MM平台，且经过MM平台测试认证通过；l 下载前可查询：软件下载前用户可查阅该软件是否通过MM平台测试认证；l 下载后可验证：软件下载后用户可验证该软件是否来自MM平台，及检测完整性是否被破坏；l 纠纷后可仲裁：发生纠纷后通过仲裁中心可验证该软件是否来自MM平台，及检测完整性是否被破坏。

第二点，防止软件被非法拷贝或篡改的需求，即防止软件被非法拷贝以绕过计费环节，且防止软件完整性被破坏；第三点，统一登录需求，即用户可以通过一次性登录认证鉴权，就可以安全登录MM平台及其它多个平台（游戏平台、Widget平台、音乐平台等）或多个子系统，从而免去多次登录的繁琐过程。