技术简介

OASP为开发者和其他厂商之间提供了更良性的互动,针对应用签名的束缚和招致的问题,我们提出了一种简单有效、且能兼容现有Android系统和应用商店的解决方案——IDSIG(鉴别签名)和基于IDSIG的OASP(Online App Status Protocol,在线应用状态协议)。OASP具有灵活、动态、兼容、安全等特点。不仅支持既有的Android验签机制、证书“换新”和跨代升级,还可以动态更新验证信息,通过生态联防避免生态的独裁。OASP是一个开放、去中心化的在线应用状态认证机制,对于支持OASP的应用,生态链的每一环(安全厂商、应用商店、设备厂商等)都能进行如下动态验证,为Android生态联合打击黑产产业链提供了重要基石。

技术特性

兼容

支持既有Android验签机制,为设备厂商提供额外校验层

灵活

支持证书“换新”,支持跨代升级,让用户获得更强的安全保障

安全

过期、吊销检查,有效避免提交的过程存在仿冒、钓鱼、劫持等问题

动态

对于支持OASP的应用,生态链的每一环(安全厂商、应用商店、设备厂商等等)都能进行动态验证

生态联防

去中心化的生态共建机制,不产生新的依赖,避免生态独裁

适用场景

安全厂商

安全厂商可以在云端进行IDSIG和OASP HTTPS证书信息的收集监控,生成相关证书名誉信息,在端上做应用扫描时结合OASP状态进行应用恶意判定。

应用商店

应用商店可以收集开发者提交的OASP信息,在应用更新时根据OASP信息验证新版本;可定期扫描应用的OASP状态,针对问题应用及时采取有效措施。

设备厂商

设备厂商可以在既有应用安装升级机制的基础上,利用IDSIG/OASP获得额外校验层, 将安全联合防护从系统层面扩展到了应用层面。

OASES联盟是一个开放的组织,欢迎更多的合作伙伴加入
提交成功
提交失败