中国移动应用商场业务规范安全分册

中国移动应用商场业务规范安全分册Service Specification-Security Partition版本号：
1、0、0xx-4-27实施xx-4-27发布中国移动通信集团公司发布目录前言II1范围12规范性引用文件13术语、定义和缩略语
13、1术语、定义
13、2缩略语24业务概述35业务安全需求
35、1业务安全威胁分析
35、2业务安全需求分析
45、3安全方案相关说明46阶段一安全方案
56、1方案总体思路
56、2安全功能描述
66、3安全方案描述
66、3、1MM安装包上架准备
66、3、2用户统一登录流程
76、3、3软件下载与安装流程106、3、4体验式计费安全方案1
36、3、5安全目标实现分析177安全方案过渡策略188编制历史19前言本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定，是保障Mobile Market业务安全开展的依据。

本标准主要包括业务安全需求、阶段一用户统一登录安全方案、阶段一软件下载安全方案及阶段一体验式计费安全方案等方面内容。

本标准是Mobile Market业务系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称[1]QB-D-145-xx中国移动应用商场业务平台总体技术要求[2]QB-D-146-xx中国移动应用商场业务平台业务规范[3]QB-D-147-xx中国移动应用商场业务平台设备规范[4]QB-D-148-xx中国移动应用商场业务平台接口规范[5]QB-D-149-xx中国移动开发者社区应用开发要求[6]QB-E-051-xx中国移动应用商场客户端规范[7]QB-F-018-xx中国移动应用商场业务规范安全分册本标准需与《中国移动应用商场业务平台总体技术要求》、《中国移动应用商场业务平台业务规范》和《中国移动应用商场业务平台设备规范》配套使用。

本标准由中移技〔xx〕106号印发。

本标准由中国移动通信集团公司数据部提出，集团公司技术部归口。

本标准
起草单位：中国移动通信有限公司研究院。

本标准主要起草人：江为强、刘斐、彭华熹。

1 范围本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定，是保障Mobile Market业务安全开展的依据。

供中国移动内部和厂商共同使用，为中国移动提供业务开展的依据。

本标准适用于GSM/GPRS/EDGE/TD-SCDMA网络环境。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

[1]QB-D-145-xx中国移动应用商场业务平台总体技术要求中国移动通信集团公司[2]QB-D-146-xx中国移动应用商场业务平台业务规范中国移动通信集团公司[3]QB-D-147-xx中国移动应用商场业务平台设备规范中国移动通信集团公司[4]QB-D-148-xx中国移动应用商场业务平台接口规范中国移动通信集团公司
[5]QB-E-051-xx中国移动应用商场客户端规范中国移动通信集团公司
[6]RFC2617HTTP Authentication: Basic and Digest Access AuthenticationIETF3 术语、定义和缩略语
3、1 术语、定义术语/定义解释Mobile Market（MM）MM是聚合各类开发者及其优秀应用，满足多类型终端客户实时体验、下载和订购需求的综合商场。

作为移动梦网二次创业，MM主要销售各类手机应用和数字商品。

MM客户端MM 管理器是浏览和下载MM应用的终端软件MM应用经过MM测试认证中心进行测试认证后，可交付给用户使用的手机终端应用。

应用是可安装、可执行的软件实体。

MM商品商品的是为了统计不同货架上产品的销售情况。

产品在上架之后即成为商品，商品是具有货架信息的某个产品。

开发者开发者特指原创个人，包括内容开发者、应用开发者。

开发者在MM的商业模式中处于价值链的顶端，为MM提供应用或者内容作品。

测试认证中心来自于开发者或AP的应用提交到MM的测试认证中心进行合格性测试，测试合格后签署中国移动认证签名，具备引入MM销售的资格平台能力API由中国移动将业务网络能力进行封装后开放的业务能力API，提供给应用开发者、第三方应用提供商进行应用开发。

如LBS能力、短信能力、彩信能力、飞信IM能力等平台应用能力网关用以为平台能力API（如鉴
权订购API）提供统一的入口，用以检查用户及应用程序的身份及屏蔽真实的平台鉴权订购接口计费鉴权DLL该实体运行在用户终端中，用以封装应用程序访问网络能力API的调用及代理应用程序与MM平台进行交互，实现MM平台对应用程序的计费鉴权及权限校验统一登录仅通过一次登录，即可实现对多个安全联盟平台或对多个安全联盟子系统的自动安全访问的安全机制用户令牌用以实现用户统一登录的关键凭证MM统一登录服务平台MM业务中用以发布用户令牌及统一代理平台做令牌核对的实体体验式计费先试用后计费MM安装包即经过MM平台安全处理（主要是指经过平台签名后进行加密的安装文件）的、cmc格式文件平台证书由CA颁发向平台颁发的X、509数字证书软件签名值采用平台证书对软件进行签名后得到的数据，用以保证软件下载安装前的完整性及保证软件的来源正确性软件安装文件应用软件安装文件明文
3、2 缩略语缩略语英文全称中文含义OTAOver The Air 空中、无线方式WAPWireless Application Protocol 无线应用协议 APApplication Provider 应用提供商 SPService Provider 服务提供商 CPContent Provider 内容提供商WWWWorld Wide Web 万维网 HTTPHyperText Transfer Protocol 超文本传输协议 APIApplication Programming Interface应用程序接口 SMSShort Message Service短消息服务 BOSSBusiness Operation Support System业务运营支撑系统URLUniform Resource Locator统一资源定位DRMDigital Rights Management 数字版权管理 MMMobile Market移动超市SDNService Develepor Network开发者社区CACertificate Authority数字证书认证中心APPIDApplication ID应用软件唯一标识IDAPPKEYApplication KEY应用软件密钥RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统4 业务概述MM业务是聚合各类开发者及其优秀应用，具有端到端服务质量保障，丰富客户体验，满足多类型终端客户实时应用下载需求的场所。

MM业务以中国移动统一的用户服务界面，定制的客户端应用管理和开发环境，向手机用户提供全过程的业务服务质量。

来自应用开发者、应用提供商、品牌应用商店的手机应用将通过开发者社区的渠道，进入MM统一的产品库。

同时，MM平台也可以作为运营商原有业务平台（如Widget平台、通用下载平台、游戏平台等）的销售渠道。

按照MM业务是否需要访问在线内容，可分为离线MM业务和在线MM业
务；按照MM业务的来源平台，可分为来自移动原有业务平台的MM业务和来自开发者社区SDN的MM业务。

MM业务支持的终端软件平台包括Symbian、Kjava、MTK、Windows Mobile、Linux、Android等。

根据业务的部署安排，将业务实施时间分为两个阶段：阶段一（即xx年5月17日到xx年底）和阶段二（即xx年12月以后）。

本规范是针对阶段一的安全需求进行制定。

5 业务安全需求
5、1 业务安全威胁分析MM业务在运营过程中存在的多种安全威胁，主要存在如下六方面：（1）软件代码安全威胁：开发者提交的软件可能存在BUG、恶意代码、安全漏洞等，这些软件没有经过严格审查，可能危害到系统的安全及用户的利益；（2）软件来源身份假冒：用户下载的软件可能并非来自中国移动MM 平台，而用户可能被欺骗误以为来该软件来自MM平台或恶意声称该软件来自MM 平台。

如果因使用该软件赞成损失，MM平台需要承担不应承担的责任；（3）软件完整性被破坏：该安全威胁分为以下两种：1）主动攻击（直接篡改）：软件在MM平台上、下载过程中、安装过程中、执行过程中可能被非法篡改，导致软件完整性被破坏。

最终用户使用的软件可能被植入恶意代码、破坏软件计费点或篡改版权。

直接损害了用户和运营商的利益；2）被动攻击（间接篡改）：攻击者可能在平台上、下载过程中、终端存储区中非法获取软件安装文件，经过篡改后（主要是篡改版权），散布到互联网上或重新注册到MM平台上，从而直接损害软件开发者的版权；（4）数据被非法窃取：该威胁分为以下两点：1）软件被非法窃取：攻击者可能在平台上、下载过程中、终端存储区中非法获取安装文件，从而散布到互联网上或直接绕过计费环节，损害运营商的利益、开发者的版权；2）用户信息被非法窃取：如果攻击者在平台上、下载等环节窃取用户的个人信息，从而使用户的隐私和合法权益受到侵害。

此外，由于MM平台与其它多个平台（游戏平台、Widget平台、无线音乐平台等）进行镜像，用户与不同平台进行交互来提交身份标识和密码等信息，容易造成信息外泄；（5）内容类数据版权被破坏：攻击者通过非法获取内容类数据（音乐、视片、图片、动漫等）或安全数据、篡改权限信息等来破坏内容类数据的版权保护机制。

从而对内容提供者及运营商的利益造成侵害；（6）用户身份假冒：非法用户可能假冒合法用户的身份与MM平台进行交互，从而绕过计费或从事破坏系统安全的活动。

5、2 业务安全需求分析目标安全方案需要满足所有需求:图
5、1 业务安全总体需求表其中，阶段一需求描述如下所示：第一点，软件的平台认证需求，即用户可确认软件是来自中国移动MM平台，且经过MM平台测试认证通过；l 下载前可查询：软件下载前用户可查阅该软件是否通过MM平台测试认证；l 下载后可验证：软件下载后用户可验证该软件是否来自MM平台，及检测完整性是否被破坏；l 纠纷后可仲裁：发生纠纷后通过仲裁中心可验证该软件是否来自MM平台，及检测完整性是否被破坏。

第二点，防止软件被非法拷贝或篡改的需求，即防止软件被非法拷贝以绕过计费环节，且防止软件完整性被破坏；第三点，统一登录需求，即用户可以通过一次性登录认证鉴权，就可以安全登录MM平台及其它多个平台（游戏平台、Widget平台、音乐平台等）或多个子系统，从而免去多次登录的繁琐过程。

第四点，体验式计费安全需求，要保证先试用后计费模式的在线应用或离线应用的计费安全，保证所计费的在线应用或离线应用身份的正确性和计费的准确性。

5、3 安全方案相关说明与阶段一安全方案相关的业务实施模式如下，具体参考《Mobile Market业务平台总体技术要求》：（1）本规范是针对MM平台上来自开发者社区SDN的应用软件（即非来自运营商原有业务平台，原有业务平台有Widget平台、通用下载平台、游戏平台等）通过非KJAVA MM客户端进行下载的安全保护方案；对于KJAVA MM客户端，只是展现MM平台上的KJAVA软件，而下载过程是通过KJAVA OS以在线OTA安装方式实现，不在本规范范围之内。

（2）原有业务平台（如：Widget平台、通用下载平台、游戏平台等）上的应用是通过镜像链接到MM平台上，用户通过MM客户端浏览选择下载后，是直接由MM客户端连接到原有业务平台进行下载的，其安全方案全部采用原有业务平台自有方案，MM客户端下载完后，只是提交给原有业务平台对应的客户端进行安全处理或安装。

MM客户端只是通道，不做解密等安全处理。

（3）安全方案需要支持直接从WWW下载安装包到PC上再COPY到终端上执行安装，但阶段一暂不对客户推出，做为内部测试。

阶段一针对客户推出的模式为，所有软件实际下载流程必须由MM客户端执行。

如果软件下载请求是通过WWW发起的，系统通过短信激活MM 客户端实现下载流程。

l 针对KJAVA版本的MM客户端：应用软件直接通过OTA 在线安装，不通过MM客户端进行下载安装。

1）通过WWW发送下载请求：通过下发数据短信，用户点击链接后，直接下载安装（下载过程不通过MM客户端）；2）
通过MM客户端发送请求：直接下载安装（下载过程不通过MM客户端）l 针对Symbian/WM/OMS版本的MM客户端：应用软件在阶段一不支持通过WWW下载到PC 上。

WWW只是展示界面，不管是通过WWW发请求（通过短信激活MM客户端下载MM安装包），还是通过MM客户端发请求，最后只能通过MM客户端进行下载，并需要提示用户是否立即安装。

如果下载的是KJAVA应用软件，则与相关类型的应用软件进行同样的打包下载处理。

（4）当通过WWW进行订购应用软件并下发短信，而终端没安装MM客户端时，方法如下：通过WWW订购应用软件---》判断终端是否安装了MM客户端---》l 如果没有安装MM客户端---》下发带链接的短信提示用户安装MM客户端---》安装完MM客户端后自动下载所订购的软件安装包l 如果已经安装MM客户端---》下发短信激活MM客户端----》自动下载应用软件安装包（5）软件安装包下载后可不立即安装。

但下载后需要提示用户是否立即安装，如果用户点击是，则立即安装；否则，不立即安装，安装包保存在终端上。

（6）安全保护针对离线应用软件类和在线应用软件类（7）终端操作系统支持Symbian和Windows Mobile、OMS和KJAVA（8）阶段一中计费方式有两种：l 对于在线应用：只有先体验后计费（体验时限为应用预先指定，后计费有按次计费、包月计费等）；l 对于离线应用：有先试用后计费、包月计费（离线包月或在线体验计费均由应用软件本身直接向MM平台进行计费请求，不经过MM客户端上发计费请求）、安装计费（即下载密钥文件后安装前开始计费；对于指定时限内重复下载密钥文件不重新计费的业务模式，采用的方法是：指定时限内不限制次数，只与手机号进行绑定，与终端类型没有关系）等。

（9）安装后保留MM安装包，由MM客户端进行MM安装包删除管理（但需删除相应的密钥文件）6 阶段一安全方案
6、1 方案总体思路l “软件的平台认证需求”中“下载前可查询”需求：采用是否通过“平台认证测试中心”的认证进行标识的方法和“MM平台签名”方法来解决；l “软件的平台认证需求”中“下载后可验证”需求：采用“MM 平台签名”方法来解决；l “软件的平台认证需求”中“纠纷后可仲裁”需求：结合“MM平台签名”和“安装日志记录”方法来解决；l “防止软件被非法拷贝或篡改的需求”：结合“加密传输”和“安装后删除安装文件”方法解决；l “统一登录需求”：采用通过CMWAP接入点（或Radius模块）获取手机号，从而获取
登录令牌的方法解决；l “体验式计费安全需求”：通过结合平台认证鉴权应用程序的身份及采用计费鉴权DLL代理应用程序实现与平台的计费鉴权流程的方法解决。

6、2 安全功能描述本规范在实现时，MM平台与MM客户端需要支持如下功能：l MM平台：软件签名、密钥生成、软件加密、加密安装包生成、计费统计、统一登录；l MM客户端：签名验证、随机密钥生成、软件解密、安装引导、安装文件自动删除、安装日志表管理、统一登录。

6、3 安全方案描述针对安全需求实现的流程图如下所示：图
6、1 安全方案简要流程图
6、3、1 MM安装包上架准备（1）MM客户端内置MM平台证书：首先MM平台内置一“平台证书”CERT（MM平台在不同的时期可能存在不同的证书，这些平台证书可能来自不同的根证书，也可能来自同一个根证书。

本方案采用平台证书的X、509有效起始时间CT来标识不同阶段所使用的证书，MM平台要保证新使用的平台证书的CT大于旧的平台证书的CT。

CT的格式为YYMMDD，采用03Byte 进行存储）和证书链CCHAIN=CERT0||CERT1||…||CERTi，其中CERT0为根证书，CERT由CERTi直接签发。

建议CERT直接由CERT0签发，以简化证书管理。

CERT 的公钥（即“平台公钥”）为Kpub，所对应的私钥（即“平台私钥”）为Kpri，在CERT中，密钥长度为2048。

当MM平台向终端下载MM客户端时，CERT和CCHAIN 需内置到MM客户端中随MM客户端一起下载到终端，CERT和CCHAIN在MM客户端不允许其它程序进行篡改和删除；（2）开发者申请“软件标识”APPID：每个开发者在进行APP开发时，预申请一个唯一的软件标识APPID。

在开发过程中，开发者在软件版权申明界面中明示该APPID。

（3）平台对软件进行测试认证：开发者开发完成后提交软件APP到MM平台“平台测试认证中心”TAC进行测试认证，APP通过平台测试认证中心TAC认证后，该APPID生效。

（4）MM平台对软件进行签名加密形成“MM安装包”（a）平台采用“平台私钥”Kpri为所有通过“平台测试认证中心”TAC测试认证的“软件安装文件”APP进行签名，生成“软件签名值”APPS：APPS=SIG(Kpri, H)，其中H=Hash(M)，M=APPID||CT||APP其中：l CT为所采用私钥Kpri对应的CERT的X、509有效起始时间；l Hash(M)为对M 进行哈希值计算，所采用的算法为SHA-256；l SIG(Kpri, H)表示采用私钥Kpri
对H做RSA非对称签名计算；l “||”表示串接符。

（b）平台为该APP生成一唯一的“软件加密密钥”Kapp（每个APPID对应一个Kapp），对上一步骤的M和APPS 值进行加密，生成、cmc文件格式的“MM安装包”INSPackage，并将INSPackage 上MM平台（用户可通过MM客户端、WWW查询到INSPackage是否通过测试认证的状态）：INSPackage=INSTYPE||APPID||CT||E(Kapp, M||APPS)其中：l INSTYPE 为“MM安装包”的类型，长度为01Byte，当INSTYPE=0x00时，表示为应用软件安装包（如百宝箱游戏、Widget、主题等，包括离线应用和在线应用软件），当INSTYPE=0x01时，表示为内容类封闭包（如音乐、视频、阅读、动漫等）；l E(K, W)表示采用K对W进行对称加密，所采用的算法为AES。

6、3、2 用户统一登录流程在MM系统中，存在多个平台（MM平台、游戏平台、Widget平台和音乐平台等），同时MM平台存在多个子系统，为了简化登录流程，需要平台与终端支持用户统一登录功能，根据MM客户端的不同类型，分别说明如下：l 对于非智能OS的KJAVA MM客户端，是通过GGSN CMWAP连接平台，MM平台或其它平台可以直接通过GGSN CMWAP来获取用户手机号，以实现对用户的认证鉴权；l 对于智能OS的MM客户端，由于其是通过专用VPN或CMNET 接入MM平台等，MM平台或其它平台无法获取用户手机号，需要通过用户令牌实现对用户的自动统一登录；同时也可以免去MM平台内部多次登录或不同平台之间多次登录（游戏平台、Widget平台、无线音乐平台等）的繁琐过程。

本节规定了智能OS的MM客户端登录MM平台及其它平台时的相关流程。

智能OS的MM 客户端的统一登录如下图所示：图
6、2 统一登录流程
6、3、2、1 初始化流程MM客户端统一登录初始化的流程如下（依据图
6、2）：（1）MM客户端通过CMWAP连接MM平台（或通过Radius模块），在请求连接消息Request中携带“令牌密钥密文”Ctk等消息，该“令牌密钥密文”Ctk由MM统一登录服务平台的证书CETRsso（该证书与MM平台证书均在MM客户端下载前预先预置在MM客户端内）对应的公钥Kpub_sso对MM客户端临时生成的“令牌密钥”Ktoken等消息进行加密：Request = Ctk[||IMEI]，Ctk=EC(Kpub_sso, Ktoken)其中：l EC(Kpub_sso, Ktoken)表示采用公钥Kpub_sso对消息Ktoken进行RSA加密；l “[ ]”表示参数可选，下文同；l 如
果通讯协议采用HTTP协议，则“||”内容分隔的内容可通过HTTP请求的参数进行携带，下文同。

（2）CMWAP（或Radius模块）查询到用户手机号UID后，连同请求连接消息发送给MM平台：Request’=Request||UID其中：l Request为第（1）步骤的请求消息；l 在本流程中UID即手机号MSISDN。

（3）MM平台从该请求连接消息中获取得到手机号；（4）MM平台向MM统一登录服务平台请求用户令牌，请求中包含Request’；（5）MM统一登录服务平台收到请求后：a）采用MM 统一登录服务平台证书对应的私钥Kpri_sso解密“令牌密钥密文”Ctk得到“令牌密钥”Ktoken；b）MM统一登录服务平台产生随机序列号SN，与用户手机号UI
D、令牌唯一标识TKI
D、MM统一登录服务平台当前时间STime和用户权限描述符RD（RD为可选）一起采用“令牌密钥”Ktoken进行对称加密，得到“初始用户令牌”TOKENinit，并将其发送给MM平台，同时MM统一登录服务平台在数据库中保存TKI
D、UI
D、SN和STime等数据，并删除Ktoken：TOKENinit = TKID||UID|| E(Ktoken, UID||STime||SN[||RD][||RFU Field])其中：l TKID为数值型，长度为08Byte，为令牌唯一标识ID，所有令牌的TKID均为不同，令牌更新后，TKID也随之更换；l SN为数值型，长度为08Byte，为令牌随机序列号，用以保护令牌的权威性和新鲜性；l STime为日期型，为生成TOKENinit时MM统一登录服务平台的当前时间，需要精确到秒；l RD为字符型，长度为08Byte，为用户权限描述符，为可选字段；l RFU Field为“其它字段”，用于在特殊场景中的安全处理，为可选字段；l E(K, M)表示采用对称密钥K对消息M进行AES加密；（6）MM平台将“初始用户令牌”TOKENinit传递至CMWAP（针对本步骤及下一步骤，若通过Radius模块，则无需传递至CMWAP）；（7）CMWAP将“初始用户令牌”TOKENinit 返回给MM客户端。

（8）MM客户端收到“初始用户令牌”TOKENinit时，记录下本地当前时间LTime后。

接着，采用“令牌密钥”Ktoken对“初始用户令牌”TOKENinit解密得到TKI
D、UI
D、SN、STime和RD，计算出本地时间与服务器时间之间的时间差△T，再将
SN进行安全秘密存储，同时删除“令牌密钥”Ktoken：
△T = LTime-STime
6、3、2、2 统一登录流程MM客户端统一登录的流程如下（依据图
6、2）：（9）如果MM客户端需要登录访问MM平台，则MM客户端首先要实时获取本地当前时间LTime’，然后实时生成动态令牌TOKENuser：TOKENuser = TKID||UID||EC(Kpub_sso,SN||UID||LTime’||△T[||RD][||RFU Field])其中：l LTime’为MM客户端实时获取的本地当前时间；l △T为第(8)步骤中的计算值；l RFU Field同于TOKENinit中的“其它字段”值，为可选字段；l 如果TOKENuser由应用平台进行校验，在能够严格保证令牌数据安全，并可避免不可信的应用平台假冒用户身份的安全风险的前提下，可以采用应用平台的公钥代替Kpub_sso进行加密。

接着，MM客户端携带“用户令牌”TOKENuser通过专用APN 或CMNET访问MM平台，MM平台获取“用户令牌”TOKENuser后通过与MM统一登录服务平台的交互可以得到相应用户的手机号码及用户访问权限（第（9）步骤与第（9”）步骤为并列关系，MM平台与MM统一登录服务平台的之间的“令牌核对请求”同于第（10）步骤，“返回核对结果”步骤同于第（11）步骤）；（9”）MM客户端如果访问与MM平台进行镜像链接的其它应用平台（游戏平台、Widget 平台、无线音乐平台等），则同样需要先实时生成动态令牌TOKENuser，再发起携带“用户令牌”TOKENuser的访问请求；（10）当其它平台收到访问请求后，向MM统一登录服务平台发送“令牌核对请求”，请求信息包括“用户令牌”TOKENuser；（11）MM统一登录服务平台收到“令牌核对请求”，进行如下操作：l 实时获取MM统一登录服务平台当前时间STime’；l 根据TKID从数据库中查询得到相应的UI
D、SN、STime和RD；l 根据STime判断数据库中该TKID对应的SN是否过期，即判断STime’-STime是否在规定的有效期内（建议有效期为24小时。

即为了保障SN的安全，从上次初始化流程起算，用户重新开机或超过有效期后，MM客户端需要重新发起初始化流程以获取新的SN，原SN作废）。

如果未过期，则进入一步操作，否则返回“用户令牌无效消息”；l 判断该TOKENuser是否新鲜，即判断网络延时|(LTime’-△T)-STime’|是否小于或等于∆T_delay（“| |”表示取绝对值，∆T_delay为MM统一登录服务平台发送TOKENinit的网络延时与
MM客户端发送登录访问请求的网络延时之和，建议选择60秒，具体可根据网络延迟情况进行调整）。

如果是，则进入一步操作，否则返回“用户令牌无效消息”；l 采用MM统一登录服务平台的私钥Kpri_sso解密TOKENuser，得到SN和UID。

并与数据库中查询到的相应值进行匹对，如果都相同，则进入下一步骤，否则返回“用户令牌无效消息”；l MM统一登录服务平台向应用平台返回核对结果与用户UID（本节中UID指用户手机号），如果“用户令牌”中包括RD，则在返回的结果还包括相应的权限描述。

用户统一登录流程相关说明如下：l 如果用户对终端本地时间进行了更变，则MM客户端需要重新发起初始化流程；l 如果用户重新开机或超过MM统一登录服务平台规定的令牌随机序列号SN有效期（如24小时），则MM客户端需要重新发起初始化流程；l MM平台与MM统一登录服务平台之间，或其他应用平台与MM统一登录服务平台之间采用IP绑定方式，以简化互相认证鉴权流程；l 令牌随机序列号SN是用户令牌合法性的重要凭证，在MM 客户端中需要安全秘密存储；l 在阶段一，MM统一登录服务平台可以在MM平台上以模块化形式进行实现；l 以上协议流程如果采用HTTP协议实现，则“||”前后的参数可以采用HTTP参数进行携带；l “令牌密钥”只是临时产生，使用后即该删除，以减小在不可信任的终端环境中密钥被非法获取的风险；l 所有用户令牌TOKENuser实时产生，可防止用户令牌重放攻击；l 该方案中，MM客户端第二次登录时可直接通过专用APN或CMNET连接，无任何用户体验影响；仅对用户首次使用的体验有一定影响，如联网速度的延迟；l 该方案中，非法用户无法获取得到用户令牌，更无法篡改用户令牌信息，因此无法假冒该用户令牌对应的合法用户。

6、3、3 软件下载与安装流程软件下载及安装流程如下图所示：图
6、3 软件下载及安装简要流程图第一步与第二步为软件下载流程：（1）MM 客户端MM平台：发送“MM安装包下载请求” l 如果用户通过MM客户端订购了某应用软件，则由MM客户端直接向MM平台发送“MM安装包下载请求”; l 如果用户通过WWW订购了某应用软件，则MM平台向终端下发短信，该短信包括MM 客户端的WAP链接信息及提示信息：n 如果终端上没有安装MM客户端，则用户根据短信的提示信息点击WAP链接下载MM客户端，安装完MM客户端后自动发送“MM安装包下载请求”；n 如果终端上已经安装了MM客户端，则自动激活MM客。