中国移动应用商场业务规范安全分册

中国移动应用商场业务规范安全分册MobileMarketServiceSpecification-SecurityPartition版本号：1.0.0中国移动通信企业标准QB-F-018-2009中国移动通信集团公司发布2010-4-27发布2010-4-27实施QB-F-018-2009I目录前言............................................................................................................................................II1范围...........................................................................................................................................12规范性引用文件.......................................................................................................................13术语、定义和缩略语...............................................................................................................13.1术语、定义...............................................................................................................13.2缩略语.......................................................................................................................24业务概述...................................................................................................................................35业务安全需求...........................................................................................................................35.1业务安全威胁分析...................................................................................................35.2业务安全需求分析...................................................................................................45.3安全方案相关说明...................................................................................................46阶段一安全方案.......................................................................................................................56.1方案总体思路...........................................................................................................56.2安全功能描述...........................................................................................................66.3安全方案描述...........................................................................................................66.3.1MM安装包上架准备.......................................................................................66.3.2用户统一登录流程...........................................................................................76.3.3软件下载与安装流程.....................................................................................106.3.4体验式计费安全方案.....................................................................................136.3.5安全目标实现分析.........................................................................................177安全方案过渡策略.................................................................................................................188编制历史.................................................................................................................................19QB-F-018-2009II前言本标准对MobileMarket业务开展过程中可能面临的安全风险提出解决方案并提出相应规定，是保障MobileMarket业务安全开展的依据。本标准主要包括业务安全需求、阶段一用户统一登录安全方案、阶段一软件下载安全方案及阶段一体验式计费安全方案等方面内容。本标准是MobileMarket业务系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称[1]QB-D-145-2009中国移动应用商场业务平台总体技术要求[2]QB-D-146-2009中国移动应用商场业务平台业务规范[3]QB-D-147-2009中国移动应用商场业务平台设备规范[4]QB-D-148-2009中国移动应用商场业务平台接口规范[5]QB-D-149-2009中国移动开发者社区应用开发要求[6]QB-E-051-2009中国移动应用商场客户端规范[7]QB-F-018-2009中国移动应用商场业务规范安全分册本标准需与《中国移动应用商场业务平台总体技术要求》、《中国移动应用商场业务平台业务规范》和《中国移动应用商场业务平台设备规范》配套使用。本标准由中移技〔2010〕106号印发。本标准由中国移动通信集团公司数据部提出，集团公司技术部归口。本标准起草单位：中国移动通信有限公司研究院。本标准主要起草人：江为强、刘斐、彭华熹。QB-F-018-200911范围本标准对MobileMarket业务开展过程中可能面临的安全风险提出解决方案并提出相应规定，是保障MobileMarket业务安全开展的依据。供中国移动内部和厂商共同使用，为中国移动提供业务开展的依据。本标准适用于GSM/GPRS/EDGE/TD-SCDMA网络环境。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。[1]QB-D-145-2009中国移动应用商场业务平台总体技术要求中国移动通信集团公司[2]QB-D-146-2009中国移动应用商场业务平台业务规范中国移动通信集团公司[3]QB-D-147-2009中国移动应用商场业务平台设备规范中国移动通信集团公司[4]QB-D-148-2009中国移动应用商场业务平台接口规范中国移动通信集团公司[5]QB-E-051-2009中国移动应用商场客户端规范中国移动通信集团公司[6]RFC2617HTTPAuthentication:BasicandDigestAccessAuthenticationIETF3术语、定义和缩略语3.1术语、定义术语/定义解释MobileMarket（MM）MM是聚合各类开发者及其优秀应用，满足多类型终端客户实时体验、下载和订购需求的综合商场。作为移动梦网二次创业，MM主要销售各类手机应用和数字商品。MM客户端MM管理器是浏览和下载MM应用的终端软件MM应用经过MM测试认证中心进行测试认证后，可交付给用户使用的手机终端应用。应用是可安装、可执行的软件实体。MM商品商品的是为了统计不同货架上产品的销售情况。产品在上架之后即成为商品，商品是具有货架信息的某个产品。开发者开发者特指原创个人，包括内容开发者、应用开发者。开发者在MM的商业模式中处于价值链的顶端，为MM提供应用或者内容作品。测试认证中心来自于开发者或AP的应用提交到MM的测试认证中心进行合格QB-F-018-20092性测试，测试合格后签署中国移动认证签名，具备引入MM销售的资格平台能力API由中国移动将业务网络能力进行封装后开放的业务能力API，提供给应用开发者、第三方应用提供商进行应用开发。如LBS能力、短信能力、彩信能力、飞信IM能力等平台应用能力网关用以为平台能力API（如鉴权订购API）提供统一的入口，用以检查用户及应用程序的身份及屏蔽真实的平台鉴权订购接口计费鉴权DLL该实体运行在用户终端中，用以封装应用程序访问网络能力API的调用及代理应用程序与MM平台进行交互，实现MM平台对应用程序的计费鉴权及权限校验统一登录仅通过一次登录，即可实现对多个安全联盟平台或对多个安全联盟子系统的自动安全访问的安全机制用户令牌用以实现用户统一登录的关键凭证MM统一登录服务平台MM业务中用以发布用户令牌及统一代理平台做令牌核对的实体体验式计费先试用后计费MM安装包即经过MM平台安全处理（主要是指经过平台签名后进行加密的安装文件）的.cmc格式文件平台证书由CA颁发向平台颁发的X.509数字证书软件签名值采用平台证书对软件进行签名后得到的数据，用以保证软件下载安装前的完整性及保证软件的来源正确性软件安装文件应用软件安装文件明文3.2缩略语缩略语英文全称中文含义OTAOverTheAir空中、无线方式WAPWirelessApplicationProtocol无线应用协议APApplicationProvider应用提供商SPServiceProvider服务提供商CPContentProvider内容提供商