網絡移動智能手機調查報告指出,智能手機應用程序正在為更多互聯網用戶提供多樣化服務,但隨著這些嶄新的應用帶來許多新興的商業行為時,同時卻也帶來許多安全漏洞和惡意代碼的風險,威脅著網友使用行為。面對互聯網時代的假身份、惡意欺詐、釣魚網站等誠信風險和木馬、病毒、隱私竊取等安全威脅,智能手機應用程序正為互聯網帶來“誠信”和“信任”的兩大挑戰,如何確保網站經營者的誠信,以及如何獲得網民的信任已經成為應用程序開發業者必須要解決的迫切問題。
根據我們所進行的市場觀察,國際知名的移動操作系統平臺(例如Windows? Mobile 7)以及流行的應用程序商店(APP store)已經陸續實施代碼簽名證書技術,用以解決日益嚴重的互聯網安全問題。這些移動平臺及應用程序商店通過采用代碼簽名證書來確保用戶日益依賴的移動設備應用程序的安全性。
什麽是代碼簽名?
在傳統的軟件采購模式中,購買者通過檢查軟件外盒包裝來確定應用程序的來源及完整性。然而,在互聯網下載的軟件因為存在著難以確認開發商及發行商的風險,若不慎在互聯網中下載到夾有惡意代碼的應用程序或軟件,不僅會給終端用戶的智能手機或移動設備帶來風險,亦可能使所有用戶遭受攻擊,並導致服務中斷,嚴重損害應用程序開發業者的聲譽。
代碼簽名證書技術基於公***密鑰加密法技術,為壹種數字簽名技術,開發者或軟件發行商使用“私有”密鑰,在軟件代碼中加設壹個數字簽名,在移動應用程序下載過程中,使用“公***”密鑰驗證簽名,將應用程序簽名中的散列碼與所下載程序中的散列碼進行對比。而數字簽名中的散列碼用以確認文件內容,檢驗文件在簽名後代碼是否被更改或損壞,下載該軟件或應用程序的用戶便能能夠驗證文件內容及軟件的完整性。
通過網友的信任門檻
正常情況下,移動代碼簽名證書的實現有兩個數字認證:壹個用來識別發行商,另壹個用來識別內容。大多數情況下,來自受信源的簽名代碼可以被自動接收,安全警示也會提示終端用戶查看簽名信息,確定這壹代碼的可信度。軟件開發或應用程序開發商將產品發布到互聯網上後,某些網絡平臺只接受已簽名的應用程序,有些則會要求添加代碼簽名,以便提升應用程序的安全性。
應用程序商店 (APP store)對軟件及應用程式的驗證過程對應用程序開發者來說非常重要,若能使用證書認證中心(CA)的所發行的代碼簽名證書,將可順利通過驗證、審查。在代碼簽名證書的審核過程中,證書認證中心(CA)將收集與發行商及其機構有關的信息,核實身份的真實性,GlobalSign 正是受到 WebTrust 認可的證書認證中。依照 GlobalSign 的證書審查程序中,確保其身份的真實性對代碼簽名證書頒發作業來說至為重,我們實時以互聯網的安全使用為期許。
互聯網正驅動著消費者更加關註移動應用程序,意味著用戶、應用程序開發者、發行商以及網絡運營商都能意識到網絡安全應用的重要性。而代碼簽名使得發行商能夠保護客戶的安全使用,及他們的品牌價值,網絡運營商可以大幅地降低網絡和用戶遭受攻擊的風險。
GlobalSign 代碼簽名證書服務簡介:
GlobalSign代碼簽名證書針對程序代碼和內容建立了壹種數字化的驗證及保護程序,可在軟件發行者和用戶透過互聯網和行動網絡下載、安裝代碼程序和內容時,由系統跳出開發者的信息,大幅提高安全性。簡單來說,代碼簽名證書的功能為:驗證內容的來源為與完整性,而終端使用者也會意識到該代碼程序及內容自發布後皆未遭到非法竄改,進而對開發商及組織機構產生高度信賴感,保護了軟件開發商的利益,使得軟件開發商能安全地快速地通過互聯網發布軟件或應用程序。