S60V3手机操作系统数字签名安全机制与软件签名原理

S60V3手机操作系统数字签名安全机制与软件签名原

理

就

Symbian（

网上俗称“塞班”）操作系统来讲，也正是考虑到以上安 全威胁，

才从第

3

版开始强制要求软件数字签名。通俗地讲，手机软件签名就 是手机软件实名

制，也就是说，假如有签名，则一旦用户发现软件有问题就能够 找手机软件开发商（软

件签名者）；否则一旦手机软件有问题，将由于无法证 明软件的来源而使得用户没有任

何证据来向软件开发商索赔。事实上，数字签名 机制是保证了手机用户的合法权益的。

而目前由于埋怨的用户，许多都是想盗用 软件的，从另一个角度来讲，数字签名机制又

保护了手机软件开发商的利益。因 此，手机软件签名机制，不仅保护了最终用户的权益，

也保护了手机软件开发商 的利益，当然，也保护了手机制造商的利益（大大减少了售后

服务的成本与增 加销售）。这是一项多方都受益机制，不能由于一些手机玩家的反对而

认为是 在“折磨”用户，实际上是在保护用户，一些没有此类安全机制的国产手机己

经体会到了没有签名机制的坏处（用户由于安装了恶意软件而导致手机不能使 用而返

修，大大加重了售后服务成本），而开始实施类似安全机制。

一、

Symbian Signed

四种数字签名方式简介

Express

Certified

Open Signed Open Signed

Signed

快速签

Signed

认证签

Online

开放签

Offline

开放签

可用状态

帐户

(*1)

公布者证书

名在线 方式

Beta

版可用

不要求

名离线方 式

可用

要求

名方式

可用

要求

名方式

可用

要求

Symbian Signed

(*2) TC

Publisher ID

开发者证书

不要求 要求 要求 要求

(*3) Developer

ID

内容证书

(*4)

不要求 要求 不要求

要求 每个

SIS

文件 一个

不要求

TC Content ID

第三方测试

不要求 不要求 不要求

不要求 不要求

要求 费用：

不要求

（*5）

2000

元 左右

有限制 只能

1

个

有限制

1000

个

串号

（IMEI）

数

以内

量

没有限制 没有限制

能力限制

(*6) 13

种能力

* Email

限制

* UID

限制

* SIS

文件限制

17

种能力

13

种能力

没有限制

3

种能力需向手

机厂商申请

其他限制

有， 提示软件处

有，

签名后下载是 否

于 开发测试阶段

提示软件处于开

有警告

发测试阶段

无 无

公布者证书： 公布者证 书

：

1600

元

1600

元

开发者证书：免

费

内容证书:

200

元

证书价格 (元)

公布者证书：

1600

元

签名有效期

(*7)

3

年

3

年

10

年

10

年

注

1： Symbian Signed

帐户注册不同意使用公共邮箱，如：

Gmai1

、

Yahoo

与

Hotmail

等； 注

2：

购买公布者证书务必提供个体或者公司营业执照，同时要提供电

话收费 发票用于电话身份验证；

注

5：

尽管快速签名方式不需要通过第

3

方测试机构测试，但

SymbianSigned

会在软

件开发商提交软件后由系统自动扫描测试，或者随机抽查给第三方测试公 司测试是否

满足软件测试要求。建议软件开发商在提交反签名之前先自己使用

Symbian Signed

网站上提供的自测工具测试；

注

6： 13

种能力：

LocalServices, ProtServ, UserEnvironment,

NetworkServices, Location, ReadUserData, WriteUserData, SW Event,

SurroundingsDD, PowerMgmt, ReadDeviceData, WriteDeviceData,

TrusteclUI ；

17

种能力：

LocalServices, ProtServ, UserEnvironment, NetworkServices,

Location, ReadUserData, WriteUserData, SW Event, SurrounclingsDD,

PowerMgmt, ReadDeviceData, WriteDeviceData, TrustedUI, CommDD,

MultimediaDD, NetworkControl, DiskAdmin

需要向手机厂商申请的

3

种能力有：

DRM, AllFiles, TCB

；

注

7：

公布者证书有效期为

1

年，此栏中的有效期是指为重签名后的

SIS

文 件的签名

有效期。

二、

S60 V3

平台安全机制简介

（一）软件数字签名原理

软件代码数字签名使用

PKI

数字证书技术，整个数字签名过程如下图

1

所示：

软件开发商在自己电脑上生成私钥（.

pvk）

与证书请求文件

（CSR）

提 交给证

书颁发机构

（CA）,

同时提交有关身份证明文件（如：营业执照与第三 方证明文件等）

给

CA

鉴证，

CA

在验证身份后用自己的私钥给

CSR

文件签名 后就生成代码签名证书，

也就是公钥

Cspc

或者

∙ccr）

文件给软件开发商，这 样就完成了证书的申请与颁发过程。

软件开发商用代码签名工具

（

如：

signSIS）

给要签名的代码生成一 个

Hash

表，再用其私钥加密

Hash

表产生认证摘要，接着就把认证摘要连同其 公钥与软件代码

一起打包生成签名后的新的软件代码，软件开发商就能够把已经 签名的代码放到网上

发行了。

最终用户从网上下载已经签名的代码时，浏览器或者手机操作系统会 从签名

代码中解读出其签名证书（公钥）与

Hash

表摘要，并与

Windows

操 作系统或者

Symbian

移动操作系统中的受信任的根证书相比较查验公钥证书的 有效性与合法性，验证签名

证书正确后，就能够确认此代码确实是来自真实的软 件开发商。

接着，再使用签名时使用的同样算法对软件代码生成一个

Hash

表， 并使用

公钥也同样生成一个

Hash

表认证摘要，比较从代码中解包出来的

Hash

表认证摘要与

生成的

Hash

表认证摘要是否一致，假如一致，则说明此代码在传 输过程中没有被篡改，

从而能够确认代码的完整性。

从以上整个过程的简单介绍，能够看出：

（1）

软件代码签名的验证机制检查签名证书是否由操作系统中的受

信任的根证书颁发机构颁发，否则无法通过验证。

(2)

代码签名后不仅保证了软件开发商的真实身份，而且还保证了代 码的完

整性，以免代码被病毒干扰与被非法篡改。

(3)

只有使用了操作系统受信任的证书颁发机构颁发的代码签名证书 签名

的代码才同意下载。

(二)

Symbian Signed

签名过程

针对

SymbianSigned

签名，具体涉及到两种证书，一是公布者证书

(TC

Publisher ID),

此证书由

Symbian

全球指定德国

TC TrustCenter

公司颁发， 此证

书的要紧用来证明软件开发者的真实身份与保证软件代码在提交测试时不 可能被非法

篡改。

而另一类证书是开发者证书

(Developer ΓD)

与内容证书是由

Symbian

操作

系统所信任的根证书颁发，务必使用此类证书签名代码后才能在手机上安 装。

您可能会问：为什么要搞得那么复杂而设计两类签名证书？这涉及到信 任机制

与法律问题，简单地讲，公布者证书就是软件公布者的在数字世界的营业 执照，与现实

世界的营业执照是一一对应的，而数字签名也是受法律保护的，因 此公布者证书只颁发

给有营业执照的企业与个体工商户，同时，也一定是要由当 地政府合法注册的证书颁发

机构来颁发。由于

Symbian

只是平台开发商，并非 证书颁发机构，因此，委托证书颁

发机构

TC TrustCenter

来颁发。

由于数字签名是受法律保护的，因此在此特别提醒一下：有些网站自己 申请公

布者证书后免费或者收费代其用户申请开发者证书(俗称：制作证书) 是有法律风险的，

相当于现实世界中不管别人写什么，你都代人家签名，一旦出 现法律纠纷，是由签名人

来承担法律责任的。千万不要为了网站积聚人气或者为 了挣点小钱而冒承担法律责任

的风险。

关于第二类证书，不管软件开发商使用哪种签名方式，实际上都是要先 使用公

布者证书签名其代码，通过测试后(快速在线测试或者通过第三方测 试)，再由

Symbian

Signed

系统读出其证书中的软件公布者信息，使用

Symbian

移动操作系统所信任的根

证书重新签名其代码，这样就能够正常安装 了。使用开发者证书、内容证书或者做第三

方测试都是一个重签名过程。

能够看出：两类证书具有不用的功能，完成不一致的角色。公布者证书 是基础，

相当于现实世界中公司开业务必先申请营业执照一样，而软件开发商能 够根据软件使

用能力要求的不一致而选择合适的签名方式。

下面以

Certified Signed

为例，说明整个签名过程。而

Open Signed

与

Express Signed

与

Certified Signed

不一致的是：前两个实际上能够认为是 软件

自测，而后者是通过第三方来测试，更具权威性，具有更多的能力。

三、小结

S60

第

3

版的应用软件是务必数字签名才能运行的，是强制要求，是为 了确保

手机不可能被恶意代码所侵害，为了保护用户、软件开发商与手机制造商 的权益。请注

意：数字签名与测试认证是 两码 事，数字签名是务必的，而测试 认证不是务必的，只

有您选择

CertifiedSigned

签名方式才需要通过第三方测 试公司测试，其他方式为自

测。

能够看出，正是由于

Symbian

移动操作系统具有完善的安全机制，因此, 全球

领先的手机制造商诺基亚、索爱、摩托罗拉、三星都已经使用了

Symbian

操 作系统，

只有具备完善的数字签名机制才能确保手机安全。而目前所有国产手机 都没有使用类

似安全机制，这就制约了国产手机向高端进展。可喜的是，据笔者 熟悉，第

3

代手机标

准

TD-SCDMA

已经开始开发类似安全机制，从而将为国产 手机向高端进展提供了安全保

证。