本文主要参考规范GlobalPlatform Device Technology Secure Element Access Control,上面也有更详细的描述,感兴趣的可以阅读一下。
基本定义
GP(GlobalPlatform)定义了一套允许各应用提供方独立且安全地管理其在SE上的应用的安全框架,而AC(Access Control),顾名思义,是对外部应用进行SE上应用访问权限控制的一套安全机制。
其中,SE全称为Secure Element,安全单元,是一类用以提供安全能力,如加解密运算,完整性校验,并能安全存储敏感数据的元件的总称,SE可以是终端内嵌的SE,即emmbedded SE(eSE),也可以是UICC(如USIM),智能SD卡等。
举个例子,一个银行或交通应用可以分成多个部分部署在各个环境中,比如可以将用户界面相关的,对运算资源需求较大的部分部署到REE(Rich Execution Environment)中,而将较为敏感的,对安全性要求较高的运算或校验环节(如指纹的校验)部署到TEE(Trusted Execution Environment)中,而将安全性要求更高的,或者涉及加解密运算等操作的元素,如私钥等,存放到SE上的对应应用中。
应用的各个部分分散在不同环境中,通过各自开放的API进行访问,其中,REE跟TEE可以对应到用户设备上,REE即为我们日常接触的手机终端的操作系统OS,如Android或Windows Phone environment等,TEE的定义也能在OS的文档中找到相关的定义,REE和TEE上的应用统称为设备应用,这些应用可以通过一些API,如Open Mobile API或GP TEE SE API实现对SE上应用的访问,SE可以是终端内置的eSE,也可以是UICC或SD卡。
在GP体系下,为避免外部应用未经授权即访问SE上的资源,防止拒绝服务攻击(denial of services attacks),GP定义了一套安全访问机制,即,AC规则,该规则由SE进行保存与维护,外部应用在调用访问SE的API时,由此时API中的相关部件模块去获取这套规则,并判断是否被允许访问特定的资源或者应用。
AC架构
GlobalPlatform Device Technology Secure Element Access Control中定义了多套AC架构,涉及AC规则的存储,获取与管理,但这些架构都有一个共同点:access rule data,即AC规则被保存在SE中并由设备地Access Control Enforcer(访问控制器)来获取,并由Access Control Enforcer来执行这套权限控制规则。
典型的AC架构,AC规则数据由SE上专门的应用,Access Rule Application Master(ARA-M)进行管理,AC数据由该应用索引并返回给终端的Access Control Enforcer,当AC数据有所冲突或重复时,也由该应用进行冲突处理,并按优先级列出实际有效的AC规则,并返回给Access Control Enforcer。
这种情况下,ARA-M一般直接放置在SE的ISD(Issuer Security Domain,发行方安全域/主安全域)下,AC规则可以存储在SE中的任意位置,ARA-M负责索引并处理来自Access Control Enforcer的请求,ARA-M应用必须是唯一的。对应的AC架构如下图所示。
规范还定义了另一种形式的AC架构,这种架构引入了Access Rule Application Client(ARA-C)应用,一个ARA-C应用可以关联到一个应用提供商的安全域(即Application Provider Security Domain, APSD),并管理APSD下的应用的AC规则,当Access Control Enforcer需要获取SE的AC时,仍旧访问ARA-M,并由ARA-M去ARA-C或SE的其他存储位置获取AC并完成整合及返回。对应的AC架构如下图所示。
AC数据能保存在SE的不同位置,如主安全域中的ARA-M或辅助安全域中,对于SE中的UICC,AC数据还能保存在文件中,这类文件称为Access Rule File(ARF),即AC规则文件,Access Control Enforcer可以访问ARA-M来获取AC,也可以直接从ARF中读取。对应的AC架构如下图所示。
这些架构的共同点是,终端设备对AC规则的访问均通过ARA-M进行,区别仅是AC规则存储位置的不同,GP定义了多套AC架构,也意在适应不同SE的不同需求。
但ARA-M其实也不是必须的,AC规则数据可以只有卡上文件系统的ARF部分进行存储与维护,终端设备直接读取文件以获取AC规则。其架构如下图所示。
目前运营商的卡(即USIM),其AC既有由ARA-M进行管理的,也有直接通过ARF进行管理的。
后续有时间会对ARF文件结构和AC具体数据格式进行梳理,感兴趣的可以点个赞同,有什么错误也欢迎指正。
