YDC 085-2010  移动终端开放平台及应用程序安全框架

该功能组通过本地连接能力访问数据流，如蓝牙、红外线、无线局域网或申口。有线连接也包 功能组（例如IEEE1394，USB等）中。包括所有模式或特性，如调制解调、文件传输和音频等

5.8非基于网络的定位

该功能组使应用可以确定终端目前的位置（如全球定位系统、欧洲伽利略卫星定位系统、北斗定位 系统等）。辅助GPS包括在这个功能组中。 不包括提供明确通过网络获取信息的功能组，如辅助GPS要求中的网络辅助信息。 通过连接到外部的本地GPS系统装置而调用串行协议API的应用不包括在这个功能组中。

5.9基于网络的定位功能

该功能组包括从网络广播控制信道获取终端位置信息的功能，这些信息可以用来提供用户位置，如 基于小区ID，NMR档案标准，BCCH列表或其他信息

指那些允许应用访问终端底层数字版权管理能力的功能。对终端密钥及证书的访问功能不包括在 内，这些功能不得提供给按本框架执行的第三方应用。它涵盖的功能可以访问终端上未加密的数据流， 而通常情况下这些数据都是以加密的形式存储

应用在终端上使用AT命令访问其他API的功能纟

为应用程序生成用户接口事件或读取用户接口事件（如按键）的功能组。每当应用在前台 这个应用将成为用户输入事件的合法接收者。在后台运行的应用必须通过访问此功能组，以便 成用户接口事件

5.14读/写用户数据

5.15读/写敏感的SIM/UICC数据

该功能组能够读/写存储在SIM/UICC上的敏感数据。 敏感SIM/UICC数据是指所有存储在SIM/UICC上的数据： 不包括3GPPTS51.011中DFte1eco列出的EFs； 不包括与3GPPTS51.011中SIM/UICCDFtelec列出的EFs意义相同的EFs； 包括EF=P

5.16读/写其他的SIM/UICC数据

能够读/写任何其他定义为敏感数据的（见5.15）以外SIM/UICC数据的功能组。

5.17写全球网络配置数据

名称（APN）和用于GPRS连接的DNS的IP地址，短消息中心号码，MMSC的URI，无线局域网的SSID）。这

5. 18写终端配置数据

写终端配置数据的功能组，这是用来确定终端本身以何种方式运作的数据。包括用户界面定制 和主题等。

5.19敏感驱动程序访问

寸所有通信设备及多媒体设备驱动程序直接访问

20文件系统控制和访通

访问终端文件系统的功能组。包括读取其他应用的私有数据的能力。访问该功能组的应用程序如防 病毒软件或备份应用程序。

依据存在漏洞或受恶意代码攻击的可能性，将可安装应用分类成不同的信任级别非常重要，而不论 这类应用是预装的还是下载到终端的。 其来源无法证实的应用不能被终端用户完全信任。为了保护用户和网络运营商免受攻击，未获认可 的应用对终端某些关键的功能的访问将受到限制。 应用的信任级别由所获的不同信任级别证书来实现，而该证书通过已知安全证书进行校验，终端根 居不同信任级别的证书来评估该应用是否以及在何种程度上被准予访问某些功能

未获认可的应用是指任意应用，既包括没有证书的应用，也包括证书验证失败的应用。 这种类型的应用可能非常普遍。不过由于其来源可能无法核查，他们会给用户带来较高的受到 件攻击的风险。因此，有必要禁止或限制这类应用对某些功能的使用（取决于用户的许可），以 户免受潜在的功能滥用

6. 2. 1没有根证

如果终端识别出一个已签名的应用，但没有根证书确认签名，终端应将该应用视为未获认可应 装或者依据终端自身的规则禁止安装

6.2.2根证书未被定义信任级别

终端或SIM/UICC中存储有签名机构的根证书，应用也拥有该签名机构颁发的证书，但如果根证 映射为某一信任级别，则该应用被视为未获认可。

6.2.3没有证书的应用程序

不具有证书的应用应被终端视为未获认可

正书的应用应被终端视为

6. 2. 4 证书已过期或还未生效

证书已过期或还未生效的应用，终端应将该应用视为未获认可或禁止安装。

一般性认可的应用通过证书签名，该证书通过一个有效的证书链到一个根证书，根证书作为一个 般性认可信任级别”的证书存储在终端上。 这种类型的应用成为恶意软件的风险有限，因为他们有一个有效的证书，并已由认可机构签名，其 根证书在终端上有效。 签名机构（或签名机构的代理）应使用一些方法来确保这些签名的应用存在合理的安全级别。这些 方法包括： 全面的开发者鉴定； 一应用程序与开发者法律，合同的绑定； 一宣示性的声明（例如，应用是非恶意的，使用到的功能组）； 一应用测试和验证； 撤销应用签名的能力： 开发者须在证书中表明其应用使用到哪些功能组。如果AEE支持最低特权模式许可控制的原 则，则只有这些功能组可被应用运行期间所使用

（一般性认可的应用通过证书签名，该证书通过一个有效的证书链到一个根证书，根证书作为一个“ 般性认可信任级别”的证书存储在终端上。 这种类型的应用成为恶意软件的风险有限，因为他们有一个有效的证书，并已由认可机构签名，其 根证书在终端上有效。 签名机构（或签名机构的代理）应使用一些方法来确保这些签名的应用存在合理的安全级别。这些 方法包括： 全面的开发者鉴定； 一应用程序与开发者法律，合同的绑定； 一宜示性的声明（例如，应用是非恶意的，使用到的功能组）； 一应用测试和验证； 撤销应用签名的能力； 开发者须在证书中表明其应用使用到哪些功能组。如果AEE支持最低特权模式许可控制的原 则，则只有这些功能组可被应用运行期间所使用

运营商认可的应用通过证书签名，该证书通过一个有效的证书链到一个根证书，根证书作为一个“运 营商信任级别”的证书存储在终端或者SIM/UICC上。 这种类型的应用恶意软件的风险很小，因为至少有下列其中一项可以确保： 一应用一直受到高水平的检查，超过那些一般性认可应用，例如：源代码级别的检查： 一存在一个具体的开发者和运营商之间的信任关系，运营商承担应用的赔偿责任， 这个方案不应被用来签名任意第三方开发者提交的应用。它只可用于运营商与开发者建立了一个既 定的商业关系的情况下。

营商信任级别”的证书存储在终端或者SIM/UICC上。 这种类型的应用恶意软件的风险很小，因为至少有下列其中一项可以确保： 一应用一直受到高水平的检查，超过那些一般性认可应用，例如：源代码级别的检查： 存在一个具体的开发者和运营商之间的信任关系，运营商承担应用的赔偿责任。 这个方案不应被用来签名任意第三方开发者提交的应用。它只可用于运营商与开发者建立了一个既 定的商业关系的情况下。

制造商认可的应用通过证书签名，该证书通过一个有效的证书链到一个根证书，根证书作为一个“制 造商信任级别”的证书存储在终端上。 制造商认可是指应用由制造商签名后，由用户安装到终端。 由制造商集成到终端并同终端一同发货的这类应用被认为是操作系统的一部分，并不会受到本文限 制，可以充分使用终端系统任何的能力。 这种类型的应用恶意软件的风险很小，因为至少有下列其中一项可以确保： 一应用一直受到高水平的检查，超过那些一般性认可应用，例如：源代码级别的检查； 一存在一个具体的开发者和制造商之间的信任关系，制造商承担应用的赔偿责任。 制造商签名方案不应用于为任意第三方开发者的应用签名。而仅应用于与制造商建立了商业关系的 开发者的应用。

制造商认可的应用通过证书签名，该证书通过一个有效的证书链到一个根证书，根证书作为一个“制 告商信任级别”的证书存储在终端上。 制造商认可是指应用由制造商签名后，由用户安装到终端。 由制造商集成到终端并同终端一同发货的这类应用被认为是操作系统的一部分，并不会受到本文限 制，可以充分使用终端系统任何的能力。 这种类型的应用恶意软件的风险很小，因为至少有下列其中一项可以确保： 一应用一直受到高水平的检查，超过那些一般性认可应用，例如：源代码级别的检查； 一存在一个具体的开发者和制造商之间的信任关系，制造商承担应用的赔偿责任。 制造商签名方案不应用于为任意第三方开发者的应用签名。而仅应用于与制造商建立了商业关系的 开发者的应用。

表1展示的功能组，一项应用根据所分配到的不同的信任级别而受到限制。表中的“x”表明一 的功能组，对那个信任级别的应用不可使用（例如，一项未获认可的应用在任何情况下，将不

访问终端配置数据）。如果“x”没有标明，AEE可以根据最小特权的原则，给与提示（见第9章），决 定是否授权应用使用该功能组。 终端应支持存储在终端上的信任策略矩阵。 终端应支持基于终端的信任策略矩阵与不同的执行环境相关联

章从安装应用程序的观点来定义终端的行为

终端安装一项应用时，应满足以下基本要求。

8.1.1不需要安装的应用

8. 1. 2安装前声明

应该支持一种机制，使应用能在安装前声明它想

8. 1. 3安装时检查

YDC0852010 终端应提供一种安全机制来确保在安装时检查一项应用是否可被安装，它被分配到的信任级别，它 被允许在执行时访问的功能组，还有相应的访问条件

终端应提供一种安全机制来确保在安装时检查一项应用是否可被安装，它被分配到的信任级别， 午在执行时访问的功能组，还有相应的访问条件

8.1.4应用信任级别的证实

、被预先规定信任级别的应用，应通过其SIM与UICC或者终端上的应用证书和相应的根证书，来证实 应用的签名。

8.1.5最小特权原则

在应用访问API的过程中， 中如果在安装时，一项应用提供它需要访问 的标准化的功能组的一种声明， 的功能组

8. 2. 1撤回机制

冬端应支持一种撤回机制，以充许设备在安装期间确定 贝以用是智股微销以目。议种微日科 在线证书状态协议（OCSP），也可使月

8. 2. 2撤回机制的使用

主应用安装时，撤回机制的使用是可选的，并且应在终端定制时预置。如果终端预置为执行撤回 终端应在安装应用前执行撤回检查

8.2.3撤回机制的使用范围

除了未获认可的应用，撤回检查机制的使用必须对其它任何信任级别的应用

除了未获认可的应用，撤回检查机制的使用必须对其它任何信任级别的应用可行。 8.2. 4未获认可的应用

3.2.4未获认可的应用

B.2.5已被撤销的应用

8. 2. 6 不能确认撤回状态

如果终端预置为执行撤回检查，但是终端不能确认应用的撤回状态（例如，用户超出了信号的覆盖 区域或者撤回状态不能被获得），设备应支持一种配置选项以实现以下之一： 一应用的安装没有任何附加的用户提示； 一应用的安装仅仅有一个附加的用户提示； 一应用的安装不被接受。 缺省值应是没有提示的安装。这种情况下，应根据应用的证书和该证书信任级别所定义的访问权限， 将应用分配到相应的信任级别

8. 3 未获认可的应用的安装

8. 3. 1安装时提示

如果子项未获认可的应用声明下列的功能：电路交换连接，分组数据访问，信息、多媒体记录或本 地连接等功能将被使用，或者终端不能确定应用是否将使用这些功能，终端应给于用户提示通知，告知 用户该应用的开发者不能被证实， 即应用来源未知，并且可能是恶意软件

8. 3. 2安装应用的许可

如果一项未获认可的应用声明任何下列的功能： 电路交换连接，分组数据访问，信息、多媒 本地连接将被使用，或者终端不能确定应用是否将使用这些功能，则是否许可安装应用可由用户

8.3.3最小特权原则

本地连接功能都将不被使用；则根据最小特权的原则，限制该应用对这些功能的访问。终端可以 一个提示通知，说明应用来自一个非信任的来源

8.4一般性认可的应用的安装

安装一般性认可的应用时(见6.3），可以给于用户一个安装时提示，内容包括开发者身份，应 的状态和使用的功能

生认可的应用（见6.3）应被分配一般性认可的信任

8.4.3自动执行的提示

如果一项一般性认可的应用能够强制自动执行，而不是按用户要求执行（见5.4），宜提示用月 况可能发生，同时宜包括这个应用所使用的相关功能组列表，从而使用户可以选择终止安装。

8.5运营商的、设备商认可的应用的安装

8. 5. 2信任级别

运营商、设备商信任级别的应用（见6.5）应被分配相应的信任级别

9.1对未获认可的应用的提示

除了电路交换连接，分组数据访问，信息，本地连接和多媒体记录等功能组之外，大多数敏感的功 能组不能够被未获认可的应用访问。对于每个可被未获认可的应用访问的功能组，本章定义了AEE实现 的运行时提示，要求用户做出强制性的选择和动作，以允许或者拒绝一项应用使用那个功能组。

9. 1. 1许可类型

对于许可类型的定义和要求如下：

用该功能。 每次访问提示 如果一项未获认可的应用要求访问一个特殊的功能组，要求给予用户提示通知。应给用户一种选择， 以决定那个应用对功能组的访问是允许或者拒绝。 每次访问提示要求AEE在应用每次访问功能组时都给予用户新的询问提示。AEE应阻止应用访问功 能组中的API，直到用户允许访问。 ·会话提示 如果一项未获认可的应用要求访问一个特殊的功能组，要求给予用户提示通知。应给予用户选择以 允许或者拒绝那个应用访问功能组的请求。 会话提示要求AEE对应用在一次会话中首次访问功能组时给予用户新的询问提示。 用户允许会话提示后，只要满足下列条件，应允许未获认可的应用一直访问功能组： 1）应用一直在终端上运行； 2）终端没有被关机，或者进入待机状态。 ·一揽子提示 如果一项未获认可的应用要求访问一个特殊的功能组，要求给予用户提示通知。应给予用户选择以 允许或者拒绝那个应用访问功能组的请求。 用户接受一次一揽子的提示后，应允许一项未获认可的应用使用功能组，此后应没有任何更多的提

9.1.2分组数据访间

对于未获认可的应用，当发起每次新的数据会话时，终端应给与用户运行时提示。包括，如果一次 网络数据会话因为任何原因被关闭(如：.应用或者网络关闭了会话)，而同样的应用需要一个继发的“分 组数据访问”会话。 如果分组数据访问引起请求是否允许创建电路交换数据访问的用户提示，这个提示可以被省略。 一提示应警告用户一个数据连接正被建立，并且识别出那个正在连接分组数据访问功能的未获认 可的应用。 一提示应提供用户选择，以不允许本次，或者总不允许或者允许这种联接。缺省选择宜是不接受 “分组数据访问功能”的连接

9.1.3对消息的提示

如果一项未获认可的应用试图在一个终端上调用信息功能，AEE应给用户一个“每次访问提示” 每一个单一的被发送信息，应要求一个单独的提示。如果群发一条信息，提示宜包括将被发 送的SMS的数目。 提示应告知用户关于信息目的地地址（例如，E.164号码，名字或者其它可适用的地址类型） 提示应警告用户一条信息被发送，并且识别出那个发送信息的未获认可的应用。 提示应提供一种能力，以不接受一次或者总不接受或者允许发送信息。缺省选择宜是不接受 发送信息。

9.1.4对本地连接的提示

9.1.5对于多媒体记录的提示

如果一项未获认可的应用试图调用话筒录音功能，AEE应给用户 此提示仅仅用 于使用话筒。 如果一项未获认可的应用，在一个终端上试图利用照相机功能（或者视频），AEE应给用户一个“会 活提示”，此提示仅仅用于使用照相机还有视频图像，就如同话筒录音的提示。 提示应警告用户有关被要求的多媒体记录的类型，并且识别哪个未获认可的应用发出的请求。 提示应提供用户选择，以不允许本次或者总不允许或者允许这次到照相机或者话筒的访问。缺省选 择宜是不允许访问。

9.1.6对于电路交换连接的提示

如果一项未获认可的应用试图在一个终端上访问电路交换连接功能，AE应给与用户一个“每次访 同提示”。如果功能将导致用户被提示以选择一个网络访问点，那么两个提示应当结合起来。 每一次单一的呼叫将要求一个单独的提示。 提示将告知用户关于呼叫目的地（例如。E164号码，名字或者其它可适用的地址类型）。 提示将警告用户一次呼叫被发起，并且识别发起电路交换连接的未获认可的应用。 提示将提供用户选择，以不允许本次或者总不允许或者允许呼叫建立。缺省选择宜是不允许 本次请求。

寸于一般性认可的、运营商的、设备商认可的应

在成功的安装一种认可的应用到终端上后，终端应提供一种机制，以允许用户限制或者追踪被终端 上认可的应用使用的敏感功能组。这能监控一项应用产生的费用开支。如： 在诸如语音呼叫，信息传输或者网络访问的应付费的事件之前的提示。这样的提示在每次API 被调用时，或者发送若干条信息，或者若干兆数据被传送时给出； 日志应保存付费的事件，应能被用户查阅到。 对于一般性认可的、运营商的、设备商信任级别的应用，访问非受限的功能组，可以给出应用的运 亍时提示。 如果使用提示，在一般性认可的，设备商和制造商信任级别中的应用，提示机制应允许用户对每 应用独立地控制提示。

下列的要求是对第7、8、9章中所定义的安全框架的补充完善

10.1.1安装应用的介质

10. 1. 2 根证书的安装和升级

相关的可移动介质上安装的应用，应符合本安全

月于安全框架的根证书只应由制造商安装和开级，或者通过运营商或制造商鉴权后的机制安装利 对于终端上的每一AEE，任何符合本框架的应用认证程序的根证书，应该预装到终端上，

10.1.3恢复出厂设置

当终端被恢复为出厂设置时，终端应重新安装所有出厂预置根证书，并且删除所有其他的 存储在SIM与UICC上的证书保持不变。

10.1.4根证书的删除

用户或者任何本机上的应用(未获认可或者一般性认可)，除非符合10.1.3所提出的要求，应不能 股性认可的，运营商或者制造商认可信任级别的根证书

10.1.5根证书的数量

每一个支持的信任级别，终端应有能力至少支持

10.1.6信任级别和策略矩阵的定制

终端应支持在本框架文件中定义的信任级别和策略矩阵，以及其它可供运营商或制造商定制使用的 信任级别和策略矩阵。

住宅标准规范范本10.1.7应用程序作为附件或文件的情况

当可执行文件或应用程序安装文件作为任何种类的信息的附件被收到，或者作为蓝牙、红外、数据 电缆和其它远端的文件传输（已鉴权的终端管理除外），除非用户主动执行，文件应不能白动地运行，并 且用户应不被提示是否运行文件

10.1.8存储卡中的应月

当存储卡插入到终端中时，存储卡上的安装文件可以自动执行。此时终端应给出一个关于被安装应 用信息的提示，以允许用户选择存储卡上的应用是否能被安装。

除了运营商或者制造商信任级别的应用，AEE应阻止任何其它信任级别的应用访问活跃的或者以前 使用过的RAND、SRES、Kc、AUTN、CK和IK。根据通用引导架构（见3GPPTS33.220O），可以提供RAND给应 用使用。

10.1.10根证书和AEE的关联

终端应支持一种机制，用来将以终端为基础的根证书和AEE关联，还应具有完成这种关联所需的信 息

检验检疫标准10.1.11周知端口的访