标准规范下载简介
YDC 085-2010 移动终端开放平台及应用程序安全框架.pdfYDC 085201(
移动终端开放平台及应用程序
Openplatformandapplicationsecurityframeworkofmobileterminals
中华人民共和国工业和信息化部 发布
YDC085—2010 8.1 8.2 撤销管理 .3 未获认可的应用的安装DB32/T 3963-2020标准下载, 般性认可的应用的安装 运营商的、设备商认可的应用的安装 运行时提示 9.1 对未获认可的应用的提示 9.2 对于一般性认可的、运营商的、设备商认可的应用的提示 10终端要求 10.1 基本要求 10.2 与SIM/UICC的交互 13 10.3 应用提供的数据 参考文献
为满足要求,现将该标准文件印发,供科研、设计、生产、使用和管理等方面参照使用。使 议和意见,请向起草单位或通信标准技术审查部反映。 本参考性技术文件由中国通信标准化协会提出并归口。 本参考性技术文件起草单位:工业与信息化部电信研究院、诺基亚通信有限公司。 本参考性技术文件主要起草人:贺晓能、李刚、解谦、李松。
圣端开放平台及应用程序安全框杂
本参考性技术文件定义一套移动终端开放平台及应用程序安全框架,可以用来标识移动终端开放平 台及平台上的敏感功能组,这些功能有可能被恶意程序滥用。这些功能组被定义为不同的信任级别,与 通过签名的应用程序的信任级别相对应,并明确应用程序是否可以访问某功能组。应用程序是否可以使 用功能组中特定的功能或API取决于该应用程序是否通过认证或其他手段,如运营商、制造商、用户设 置,运行时提示等。 本参考性技术文件适用于移动终端的开放平台和应用程序。
应用程序application
也被表述为应用,包括主动的软件组件,如可执行文件和库文件,还包括诸如内容和脚本的被动的 组件。应用程序可被预装,可以通过移动网络下载,可以通过其他应用程序安装,可以通过红外线、 蓝牙、存储卡或电缆等方式转移到其它设备上。 移动终端应用程序的典型的例子包括游戏,媒体播放器,文字处理器,安全应用和内容。不包括固 件和SIM工具箱应用。 应用程序的运行依赖于应用执行环境,应用程序可能包括具有额外信息的文件,如运行应用的环境, 调试信息,或者被操作系统使用的其它信息
应用数据applicationdata
应用数据applicationdata
YDC0852010 应用程序所存储的数据,这些数据不能被终端上的其它应用程序阅读或修改,除非其他应用程序具 有运营商或制造商信任级别。
执行环境applicationexecutionenvironment
向应用提供访问功能组和在这些功能组之内的具体API的层。AEE根据应用程序的具体信任 其对特定功能组的访问,并给于用户运行时提示
最小特权原则principleofleastprivilege 此原则的想法是给与合法的动作授予合理的最小可能的 吴(错误容忍)和恶意的行为。
对于开放平台的移动终端,应用本安全框架的先决条件如下: 1)应支持第三方应用程序的安装、删除和更新: 2) 应支持基于不同信任级别的一套安全机制; 3)应支持一套分类明确的功能组; 应支持由应用执行环境(AEE)提供的运行时弹出提示功能。
该功能组包括使用HTTP或HTTPS建立和/或访问网络数据连接。也包括使用单播TCP或UDP套接字或在 其上实现的协议建立和/或访问网络数据连接。不包括广播IP协议,不包括可能改变IP或较低层网络堆 栈的设置、地址、路由、加密、认证或身份标识信息的任何功能组。
该功能组包括调用发送或读取SMS和MMS信息的任何
该功能组通过本地连接能力访问数据流,如蓝牙、红外线、无线局域网或申口。有线连接也包 功能组(例如IEEE1394,USB等)中。包括所有模式或特性,如调制解调、文件传输和音频等
5.8非基于网络的定位
该功能组使应用可以确定终端目前的位置(如全球定位系统、欧洲伽利略卫星定位系统、北斗定位 系统等)。辅助GPS包括在这个功能组中。 不包括提供明确通过网络获取信息的功能组,如辅助GPS要求中的网络辅助信息。 通过连接到外部的本地GPS系统装置而调用串行协议API的应用不包括在这个功能组中。
5.9基于网络的定位功能
该功能组包括从网络广播控制信道获取终端位置信息的功能,这些信息可以用来提供用户位置,如 基于小区ID,NMR,BCCH列表或其他信息
指那些允许应用访问终端底层数字版权管理能力的功能。对终端密钥及证书的访问功能不包括在 内,这些功能不得提供给按本框架执行的第三方应用。它涵盖的功能可以访问终端上未加密的数据流, 而通常情况下这些数据都是以加密的形式存储
应用在终端上使用AT命令访问其他API的功能纟
5.14读/写用户数据
5.15读/写敏感的SIM/UICC数据
该功能组能够读/写存储在SIM/UICC上的敏感数据。 敏感SIM/UICC数据是指所有存储在SIM/UICC上的数据: 不包括3GPPTS51.011中DFte1eco列出的EFs; 不包括与3GPPTS51.011中SIM/UICCDFtelec列出的EFs意义相同的EFs; 包括EF=P
5.16读/写其他的SIM/UICC数据
能够读/写任何其他定义为敏感数据的(见5.15)以外SIM/UICC数据的功能组。
5.17写全球网络配置数据
名称(APN)和用于GPRS连接的DNS的IP地址,短消息中心号码,MMSC的URI,无线局域网的SSID)。这
5. 18写终端配置数据
写终端配置数据的功能组,这是用来确定终端本身以何种方式运作的数据。包括用户界面定制 和主题等。
5.19敏感驱动程序访问
寸所有通信设备及多媒体设备驱动程序直接访问
20文件系统控制和访通
访问终端文件系统的功能组。包括读取其他应用的私有数据的能力。访问该功能组的应用程序如防 病毒软件或备份应用程序。
依据存在漏洞或受恶意代码攻击的可能性,将可安装应用分类成不同的信任级别非常重要,而不论 这类应用是预装的还是下载到终端的。 其来源无法证实的应用不能被终端用户完全信任。为了保护用户和网络运营商免受攻击,未获认可 的应用对终端某些关键的功能的访问将受到限制。 应用的信任级别由所获的不同信任级别证书来实现,而该证书通过已知安全证书进行校验,终端根 居不同信任级别的证书来评估该应用是否以及在何种程度上被准予访问某些功能
未获认可的应用是指任意应用,既包括没有证书的应用,也包括证书验证失败的应用。 这种类型的应用可能非常普遍。不过由于其来源可能无法核查,他们会给用户带来较高的受到 件攻击的风险。因此,有必要禁止或限制这类应用对某些功能的使用(取决于用户的许可),以 户免受潜在的功能滥用
6. 2. 1没有根证
如果终端识别出一个已签名的应用,但没有根证书确认签名,终端应将该应用视为未获认可应 装或者依据终端自身的规则禁止安装
6.2.2根证书未被定义信任级别
终端或SIM/UICC中存储有签名机构的根证书,应用也拥有该签名机构颁发的证书,但如果根证 映射为某一信任级别,则该应用被视为未获认可。
22.华润置地室内卫生器具安装工艺标准6.2.3没有证书的应用程序
不具有证书的应用应被终端视为未获认可
正书的应用应被终端视为
6. 2. 4 证书已过期或还未生效
证书已过期或还未生效的应用,终端应将该应用视为未获认可或禁止安装。
一般性认可的应用通过证书签名,该证书通过一个有效的证书链到一个根证书,根证书作为一个 般性认可信任级别”的证书存储在终端上。 这种类型的应用成为恶意软件的风险有限,因为他们有一个有效的证书,并已由认可机构签名,其 根证书在终端上有效。 签名机构(或签名机构的代理)应使用一些方法来确保这些签名的应用存在合理的安全级别。这些 方法包括: 全面的开发者鉴定; 一应用程序与开发者法律,合同的绑定; 一宣示性的声明(例如砌石及雷诺护垫工程专项施工方案.doc,应用是非恶意的,使用到的功能组); 一应用测试和验证; 撤销应用签名的能力: 开发者须在证书中表明其应用使用到哪些功能组。如果AEE支持最低特权模式许可控制的原 则,则只有这些功能组可被应用运行期间所使用
(一般性认可的应用通过证书签名,该证书通过一个有效的证书链到一个根证书,根证书作为一个“ 般性认可信任级别”的证书存储在终端上。 这种类型的应用成为恶意软件的风险有限,因为他们有一个有效的证书,并已由认可机构签名,其 根证书在终端上有效。 签名机构(或签名机构的代理)应使用一些方法来确保这些签名的应用存在合理的安全级别。这些 方法包括: 全面的开发者鉴定; 一应用程序与开发者法律,合同的绑定; 一宜示性的声明(例如,应用是非恶意的,使用到的功能组); 一应用测试和验证; 撤销应用签名的能力; 开发者须在证书中表明其应用使用到哪些功能组。如果AEE支持最低特权模式许可控制的原 则,则只有这些功能组可被应用运行期间所使用