GP規範中定義的四種SE訪問控制架構
GP規範給人的感覺好像有點晦澀難懂,由於是規範,所以比較抽象,而且GP這個組織的專家們來自世界各地,大家都用英語文檔交流,所以不同的文檔風格不同,難免大家閱讀起來有點拗口。
GP 組織早在2014年就制定了SE相關訪問控制規範,目前基於手機盾TEE+SE架構設計,以及IFAA組織中TEE+SE的2.1版本的規範,以及FIDO+TEE+SE技術方案等等,都將TEE和SE進行了結合。因此SE訪問規則就變得十分重要。
GP規範定義了用於安全元件訪問控制的通用機制,可用於任何種類的安全元件(例如嵌入式SE,帶有安全控制器的microSD卡,UICC等)。它支持多個實體的應用程序管理,並允許每個實體為其SE應用程序設置訪問規則。
註:這裡的實體是指安全元件服務提供商。
安全元件的訪問控制數據存儲在SE中,並由設備上的訪問控制強制執行器(Access Control Enforce)來使用。訪問控制強制執行器從SE中檢索訪問規則,並應用這些規則來限制設備應用程序訪問各種SE應用程序。
GP規範的最基本實現中,所有訪問控制規則都由SE提供商(Secure Element Issuer)定義並存儲在安全域(Issuer Security Domain)中,如下圖所示。SE的提供商為SE應用程序定義訪問控制規則,並將這些規則提供給應用程序文件(ARA-M)(SE提供商可以將管理委託給可信服務管理平台TSM)。當設備應用程序嘗試訪問SE應用程序時,訪問控制強制實施器應使用ARA-M提供的設備介面從SE檢索訪問規則(或者應參考其預先獲得的全套規則),以及只有在規則表明可以接受時才允許進入。
註:ARA-M是一個普通的SE應用程序,可以通過GlobalPlatform定義的AID進行選擇。
ARA-M應用程序是唯一的。雖然訪問規則數據可以存儲在SE內的不同位置,但ARA-M負責在設備上的訪問控制強制實施器發出請求後檢索所有可用的訪問規則。
應用程序提供商可能希望為其安全域中的應用程序定義訪問控制規則,並自行管理這些規則。為了支持由安全元件發布者和應用程序提供者定義的規則,規範的實現如下圖所示。每個應用程序提供者可以為其安全域(SD)中的應用程序定義訪問規則,並將這些規則提供給訪問規則應用程序客戶端(ARA-C)。(應用程序開發人員可以將管理許可權委託給TSM。)
當設備應用程序試圖訪問SE應用程序時,訪問控制執行器應從ARA-M請求相關規則。 ARA-M應提供適當的規則,無論它們存儲在ARA-M還是ARA-C上。 (訪問控制執行者可以事先獲得全套規則。)訪問控制執行者只有在規則表明其可接受時才允許訪問。
由於本規範可以被任何種類的安全元件使用(例如嵌入式SE,帶有安全控制器的microSD卡,UICC等)。對於一些現有的UICC實現,通過一組基本文件來控制對應用程序的訪問,這些文件使用遠程文件管理(RFM)而不是遠程應用程序管理(RAM)進行更新。GP SE訪問控制規範也支持該機制,如下圖所示。
當設備應用程序試圖訪問SE應用程序時,訪問控制執行器應從ARA-M請求相關規則。 ARA-M應提供適當的規則,無論它們是存儲在ARA-M,ARA-C還是ARF上。 (如第2.1節所述,訪問控制執行者可以事先獲得全套規則。)訪問控制執行者只有在規則表明其可接受時才允許訪問。發行人可以選擇決定ARA-M是否具有ARF讀取能力。
對於UICC,應執行以下回退:如果ARA-M不存在,則訪問控制強制實施器應從訪問規則文件(ARF)中檢索訪問規則,如下圖所示。
如果執行環境提供API給設備應用程序與安全元件上的應用程序進行交互,實施此規範可以防止未經授權的設備應用程序訪問特定的SE應用程序。提供對安全元件的訪問的設備API可以是REE中的SIMalliance Open Mobile API或者是可信執行環境(TEE)中的TEE Secure Element AP。
為了符合本規範,SE Access API應該是面向連接的,並應實現規範中定義的訪問控制執行器。當設備應用程序請求打開與安全元件中的給定應用程序的連接(通常由其AID標識)時,SE Access API的實現應使用請求連接的設備應用程序的標識符和請求連接的SE應用程序的標識符調用訪問控制Enforcer。然後,訪問控制執行器負責檢索相應的設備應用程序和SE應用程序的訪問規則。如果授予訪問許可權,則應接受SE Access API連接請求,並允許設備應用程序與SE應用程序交換命令(即APDU)。如果訪問未被授予,則SE Access API連接請求應被拒絕,並且設備應用程序將不能與SE應用程序交換命令(即APDU)。
(本文翻譯自《Secure Element Access Control》第二章內容)。
TAG:安智客 |