邱勤，刘璐，王馨裕，白雪

（中国移动通信集团公司信息安全管理与运行中心，北京 100053）

基于数字证书的自有APP签名保护方案

邱勤，刘璐，王馨裕，白雪

（中国移动通信集团公司信息安全管理与运行中心，北京 100053）

为应对移动应用（APP）盗版、仿冒、篡改风险，保证自有APP来源可信、内容完整，本文提出了一套基于数字证书的APP签名保护与安全控制技术方案，实现了对自有应用进行签名认证和全流程安全管控。该方案规范了自有APP的签名证书，明确了正版标识；采用可信副署签名技术，加强代码保护，实现被篡改应用可识别可追溯；通过中央监控平台，及时发现并限制异常应用，实现了APP的全流程实时安全管控。

数字证书；全周期安全防护；版权保护；代码签名

1 背景介绍

APP已成为移动互联网的主要业务载体和信息入口，面临“生产环节带病上线、发布环节易遭篡改、安装使用环节暗藏陷阱”等复杂的安全风险，黑产市场规模达千亿，对社会稳定、企业运营和用户权益构成重大威胁。

APP发布渠道多样，中国移动自有APP传播数量中，仅25%为官方主动发布，各类APP商城充斥大量山寨篡改应用，用户屡屡中招。2014年传播量最大的10款篡改APP中，有6款冒充中国移动业务，其中名为“中国移动”的山寨APP传播量第一，严重损害企业形象和客户利益。

为应对APP盗版、仿冒、篡改风险，保证自有APP来源可信、内容完整，中国移动提出一套APP签名保护与安全控制技术方案，实现了对自有应用进行签名认证和全流程安全管控。该方案规范了自有APP的签名证书，明确了正版标识；采用可信副署签名技术，加强代码保护，实现被篡改应用可识别可追溯；通过中央监控平台，及时发现并限制异常应用，实现了APP的全流程实时安全管控。

2 系统总体设计

2.1 系统架构及功能

基于数字签名的移动应用安全保护系统主要涉及应用安全监控平台、移动终端安全组件、应用安全拨测子系统和数字证书中心（下称CA中心），如图1所示。

图1 APP签名保护系统架构图

（1）应用安全监控平台：是应用安全验证及使用控制的决策中心，由应用版权人或可信第三方机构在网络侧部署。它的主要功能是接受应用开发者的应用保护申请；提供应用数字签名验证功能；向应用安全拨测子系统查询监控应用的安全状态；根据前两步的结果进行决策，给出相应的运行控制指令，并向移动终端安全组件下达；对于签名验证不通过的应用，进行责任追溯。

（2）移动终端安全组件：执行应用签名验证和控制操作的主体。移动终端安全组件的主要功能是向应用安全监控平台申请验证应用的签名真伪；接收应用安全监控平台下达的控制指令，执行相应的控制操作。

（3）应用安全拨测子系统：通过对发布后的应用进行安全监测，及时发现应用存在或潜在的安全问题，进而更新维护应用的安全状态表。

（4）CA中心：可信的第三方，对应用版权人、传播渠道等实体签发数字证书，并对数字证书生命周期进行管理。

2.2 APP签名保护流程

APP签名保护流程如图2所示。

图2 系统架构图

具体步骤如下。

A1：开发者在APP中集成安全保护SDK， 并向中国移动CA中心申请数字证书。

A2：开发者使用中国移动统一提供的签名工具对APP进行代码签名。

B：中国移动系统管理员将APP信息（包括证书序列号）录入到APP安全监控系统中。

C：中国移动利用APP安全监控系统对开发者发布的APP进行安全管控，管控措施包括应用合法性认证：通过验证APK代码签名，验证应用合法性，阻止盗版、仿冒应用安装运行；应用状态远程监控：监控APP的运行状态，发现异常时，中止异常APP的运行。

2.3 APP全生命周期保护

应用APP的生命周期是指应用APP从开发到下线的整个过程，即应用开发、应用检测、应用发布、应用运行、应用下线。在应用APP生命周期的各个阶段，均需要进行数字签名，来保障应用APP的完整性、合法性和可追溯。APP全生命周期保护实施流程如图3所示。

应用APP全生命周期签名认证描述如下。

(1) 应用开发阶段：开发者开发应用程序，并使用开发者证书对应用进行数字签名。

(2) 应用检测阶段：终端应用认证中心对应用进行安全检测，检测通过后，使用应用证书和检测机构证书利用副署签名技术对应用进行签名。

(3) 应用发布及传播阶段：应用商店验证应用已有的签名信息，若验证通过，则使用应用商店证书利用副署签名技术对应用进行签名，然后将应用发布到应用商店，供用户下载使用。

(4) 应用运行阶段：用户下载并安装应用后，在应用运行过程中，如果发现应用存在恶意行为（如吸费、内容包含黄赌毒信息），则吊销应用签名证书；应用安全监控平台通过实时监测应用签名证书的状态，对应用进行实时安全管控。

(5) 应用下线阶段：当移动终端安全组件收到应用安全监控平台发送的“验证不通过禁止”指令时，表明应用盗版或已遭篡改，则中止该应用的运行，并做下线处理。

图3 应用全生命周期签名认证

3 APP签名保护技术

APP签名认证技术的应用场景主要包括首次下载安装应用的签名认证与已安装应用的启动运行认证。具体流程分别介绍如下。

3.1 首次安装应用签名认证

移动终端下载应用安装时，部署在移动终端的安全组件先向应用安全监控平台发请求消息，请求监控平台对应用签名的真伪进行验证。监控平台收到终端安全组件的请求信息后，使用数字证书认证技术对其签名进行验证，进而判断此应用是否为正版且未被篡改；同时，监控平台向安全拨测子系统查询该应用的安全状态。之后，监控平台根据数字签名验证结果和应用安全状态来决策具体实施的操作。

根据不同的验证结果有以下3种情况：如果数字签名验证通过且应用安全状态为有效，则判定该应用为没有遭到篡改的正版应用，且不存在安全问题，允许应用正常安装运行；若数字签名验证通过但应用安全状态无效，则表明该应用存在安全问题，则中止此应用安装运行；若签名验证不通过，则表明应用无合法版权或已被篡改，则中止此应用安装运行。

3.2 已安装应用启动运行认证

已安装的应用在后续每次启动运行时，部署在移动终端的安全组件将应用的关键字段发送给应用安全监控平台，平台根据关键字段向安全拨测子系统查询该应用的安全状态，并据此给出审核结果，进而对移动终端安全组件发送相应的控制指令，对应用执行相应的操作。

根据不同的审核结果有以下两种控制情况：如果应用安全状态为有效，则表明应用处于安全状态，允许应用正常启动运行；如果应用安全状态无效，表明该应用存在安全问题，则中止应用启动运行。

具体流程图如图4所示。

4 APP签名保护效果分析

此方案应用以来，使用中国移动数字证书规范签名的自有应用数量大幅提升，应用安全全生命周期保护成效显著。

4.1 规范签名证书，明确正版标识

应用开发者使用正规的企业签名数字证书，通过签名验证来辨别真伪，确保APP的完整性和合法性。普通用户可直接通过签名信息查看应用的开发者和发布单位，放心使用。

4.2 加强代码保护，篡改可识别可溯源

本方案不仅可通过完整性校验来发现被篡改的应用，而且可以发现非法的签名证书从而识别攻击者，此外还可依据副署签名对其进行追根溯源，如图5所示。

在MM应用商场试点APP副署签名认证，展示APP开发者、发行者、检测机构等身份信息，帮助用户识别可信APP，也为监管机构进行责任追溯提供依据。

4.3 全流程安全管控，及时限制异常应用

APP监控平台可动态维护应用的证书信息及其安全状态，一旦发现安全漏洞则可立即对其进行下线，所有此问题版本的应用则无法继续使用，阻止了安全问题进一步扩大。此外，这样还可以对市场上所有活跃的APP进行跟踪监控和实时安全管控，而不再依赖于应用市场，实现独立主动的全流程安全管控。

图4 应用安全使用控制方法流程图

图5 当APP被篡改或存在风险时，禁止运行

图6 左图为状态有效时正常运行界面，右图为下线后无法运行

以某商城安卓客户端为例，远程安全管控效果如图6所示。当安全状态为“有效”时，可正常运行；而一旦发现安全漏洞可立即在平台中将其安全状态改为“下线”，即可阻止其运行。

5 总结

为构建新型网络安全防护体系，保障自有APP来源可信、内容完整，本文提出了一套基于数字证书的APP签名保护与安全控制技术方案，实现了“上线前检测+发布后追踪+使用时保护”的全生命周期安全管控。该方案规范了自有APP的签名证书，帮助用户识别版权信息；采用可信副署签名技术，加强代码保护，实现被篡改应用可识别可追溯；通过中央监控平台，及时发现并限制异常应用，并提升了问题应用的处置能力，实现了APP的全流程实时安全管控。

[1]张滨， 赵刚， 袁捷， 等． 移动终端安全关键技术与应用分析[M]． 北京： 人民邮电出版社， 2015．

[2]邱勤， 袁捷． 移动终端安全发展分析[J]． 中国信息通信行业发展分析报告， 2015-2016．

APP security protection method based on digital certificate signature verification

QIU Qin, LIU Lu, WANG Xin-yu, BAI Xue
(China Mobile Information Security Center, Beijing 100053, China)

In order to protect mobile APP from piracy, imitation, manipulation and assure that the source of selfowned apps is trusted and the content is integrated and valid, we propose an APP protection method based on digital certificate verification. We introduce an authorized digital certificate standard, and propose countersign technology to track manipulating source, and control the aberrant suspicious APP from running via the integrated security software development kit and central monitoring platform. In the end, we realize an app protection and control system from APP development step, to distribution step, to the fi nal running course.

digital certifi cate; security protection for the whole life cycle; digital rights management; code signing

TN918

A

1008-5599（2016）12-0008-04

2016-11-24