《计算机世界》第20期文章《S60V3手机操作系统用证书折磨你》是从一个普通手机用户的角度来写的,反映了一些用户的心声,但从手机软件专业和手机产业来讲,此文章有失公正客观,必须公正客观地看待此问题。笔者将从专业角度向大家介绍一下S60V3手机操作系统的安全机制以及手机软件签名原理。大家都知道,互联网上最头痛的是恶意软件(流氓软件)横行,一不小心就中招,只好重装电脑。而现在由于智能手机已经开始普及,所以各种恶意软件(流氓软件)也开始瞄准智能手机,而一旦智能手机中招,就不可能象电脑一样可以重装系统了,只能眼巴巴地看着几千元买的手机报废了。正是考虑到此问题的严重性,全球领先的手机操作系统提供商(如:Symbian、WindowsMobile等)都采用了成熟的数字签名技术,使用数字签名机制来确保手机的安全。就Symbian(网上俗称“塞班”)操作系统来讲,也正是考虑到以上安全威胁,才从第3版开始强制要求软件数字签名。通俗地讲,手机软件签名就是手机软件实名制,也就是说,如果有签名,则一旦用户发现软件有问题就可以找手机软件开发商(软件签名者);否则一旦手机软件有问题,将由于无法证明软件的来源而使得用户没有任何证据来向软件开发商索赔。其实,数字签名机制是保证了手机用户的合法权益的。而目前由于抱怨的用户,许多都是想盗用软件的,从另一个角度来讲,数字签名机制又保护了手机软件开发商的利益。所以,手机软件签名机制,不仅保护了最终用户的权益,也保护了手机软件开发商的利益,当然,也保护了手机制造商的利益(大大减少了售后服务的成本和增加销售)。这是一项多方都受益机制,不能因为一些手机玩家的反对而认为是在“折磨”用户,实际上是在保护用户,一些没有此类安全机制的国产手机已经体会到了没有签名机制的坏处(用户由于安装了恶意软件而导致手机不能使用而返修,大大加重了售后服务成本),而开始实施类似安全机制。下面就详细地介绍一下基于Symbian手机操作系统的安全机制,以及软件数字签名到底是怎么回事。本文以下内容根据SymbianSigned官方网站:www.symbiansigned.com和SymbianSigned必须用的TCPublisherID(发布者ID或发布者证书)的官方网站:www.trustcenter.de(英文)、www.wosign.com(中文)有关文档整理,是广大用户不可多得的中文参考资料。一、SymbianSigned四种数字签名方式简介OpenSignedOnline开放签名在线方式OpenSignedOffline开放签名离线方式ExpressSigned快速签名方式CertifiedSigned认证签名方式可用状态Beta版可用可用可用可用SymbianSigned不要求要求要求要求帐户(*1)发布者证书(*2)TCPublisherID不要求要求要求要求开发者证书(*3)DeveloperID不要求要求不要求不要求内容证书(*4)TCContentID不要求不要求要求每个SIS文件一个不要求第三方测试不要求不要求不要求(*5)要求费用:2000元左右串号(IMEI)数量有限制只能1个有限制1000个以内没有限制没有限制能力限制(*6)13种能力17种能力13种能力没有限制3种能力需向手机厂商申请其他限制*Email限制*UID限制*SIS文件限制签名后下载是否有警告有,提示软件处于开发测试阶段有,提示软件处于开发测试阶段无无证书价格(元)发布者证书:1600元开发者证书:免费发布者证书:1600元内容证书:200元发布者证书:1600元签名有效期(*7)3年3年10年10年注1:SymbianSigned帐户注册不允许使用公共邮箱,如:Gmail、Yahoo和Hotmail等;注2:购买发布者证书必须提供个体或公司营业执照,同时要提供电话收费发票用于电话身份验证;注3:申请开发者证书必须先到Symbian开发者论坛上要求把发布者证书和SymbianSigned帐户绑定后才能申请;注4:新注册的SymbianSigned帐户,没有在线购买内容证书的菜单,需要在Symbian开发者论坛上要求把发布者证书和SymbianSigned帐户绑定后才能在线购买;注5:虽然快速签名方式不需要通过第3方测试机构测试,但SymbianSigned会在软件开发商提交软件后由系统自动扫描测试,或随机抽查给第三方测试公司测试是否满足软件测试要求。建议软件开发商在提交反签名之前先自己使用SymbianSigned网站上提供的自测工具测试;注6:13种能力:LocalServices,ProtServ,UserEnviron...
