本文主要参考规范 GPD_Secure Element Access Control_vxxx.pdf
OMA 架构
基本定义
GP(GlobalPlatform)定义了一套允许各应用提供方独立且安全地管理其在SE上的应用的安全框架,而AC(Access Control),顾名思义,是对外部应用进行SE上应用访问权限控制的一套安全机制。
其中,SE全称为Secure Element,安全单元,是一类用以提供安全能力,如加解密运算,完整性校验,并能安全存储敏感数据的元件的总称,SE可以是终端内嵌的SE,即emmbedded SE(eSE),也可以是UICC(如USIM),智能SD卡等。
举个例子,一个银行或交通应用可以分成多个部分部署在各个环境中,比如可以将用户界面相关的,对运算资源需求较大的部分部署到REE(Rich Execution Environment)中,而将较为敏感的,对安全性要求较高的运算或校验环节(如指纹的校验)部署到TEE(Trusted Execution Environment)中,而将安全性要求更高的,或者涉及加解密运算等操作的元素,如私钥等,存放到SE上的对应应用中。
应用的各个部分分散在不同环境中,通过各自开放的API进行访问,其中,REE跟TEE可以对应到用户设备上,REE即为我们日常接触的手机终端的操作系统OS,如Android或Windows Phone environment等,TEE的定义也能在OS的文档中找到相关的定义,REE和TEE上的应用统称为设备应用,这些应用可以通过一些API,如Open Mobile API或GP TEE SE API实现对SE上应用的访问,SE可以是终端内置的eSE,也可以是UICC或SD卡。
在GP体系下,为避免外部应用未经授权即访问SE上的资源,防止拒绝服务攻击(denial of services attacks),GP定义了一套安全访问机制,即,AC规则,该规则由SE进行保存与维护,外部应用在调用访问SE的API时,由此时API中的相关部件模块去获取这套规则,并判断是否被允许访问特定的资源或者应用。
AC架构
GlobalPlatform Device Technology Secure Element Access Control中定义了多套AC架构,涉及AC规则的存储,获取与管理,但这些架构都有一个共同点:access rule data,即AC规则被保存在SE中并由设备地Access Control Enforcer(访问控制器)来获取,并由Access Control Enforcer来执行这套权限控制规则。
典型的AC架构,AC规则数据由SE上专门的应用,Access Rule Application Master(ARA-M)进行管理,AC数据由该应用索引并返回给终端的Access Control Enforcer,当AC数据有所冲突或重复时,也由该应用进行冲突处理,并按优先级列出实际有效的AC规则,并返回给Access Control Enforcer。
这种情况下,ARA-M一般直接放置在SE的ISD(Issuer Security Domain,发行方安全域/主安全域)下,AC规则可以存储在SE中的任意位置,ARA-M负责索引并处理来自Access Control Enforcer的请求,ARA-M应用必须是唯一的。对应的AC架构如下图所示。
规范还定义了另一种形式的AC架构,这种架构引入了Access Rule Application Client(ARA-C)应用,一个ARA-C应用可以关联到一个应用提供商的安全域(即Application Provider Security Domain, APSD),并管理APSD下的应用的AC规则,当Access Control Enforcer需要获取SE的AC时,仍旧访问ARA-M,并由ARA-M去ARA-C或SE的其他存储位置获取AC并完成整合及返回。对应的AC架构如下图所示。
AC数据能保存在SE的不同位置,如主安全域中的ARA-M或辅助安全域中,对于SE中的UICC,AC数据还能保存在文件中,这类文件称为Access Rule File(ARF),即AC规则文件,Access Control Enforcer可以访问ARA-M来获取AC,也可以直接从ARF中读取。对应的AC架构如下图所示。
这些架构的共同点是,终端设备对AC规则的访问均通过ARA-M进行,区别仅是AC规则存储位置的不同,GP定义了多套AC架构,也意在适应不同SE的不同需求。
但ARA-M其实也不是必须的,AC规则数据可以只有卡上文件系统的ARF部分进行存储与维护,终端设备直接读取文件以获取AC规则。其架构如下图所示。
目前运营商的卡(即USIM),其AC既有由ARA-M进行管理的,也有直接通过ARF进行管理的。
示例
附录 F
UICC 迁移方案
在本规范发布之前,GSMA 发布了一份文件 ([GSMA]),其中对 UICC 上的应用程序的访问由一组基本文件定义。 此解决方案与第 7 章中定义的 ARF 相同。GSMA 表示,长期解决方案将基于此 GlobalPlatform 规范。 为了保证与根据 [GSMA] 发布的 UICC 仅与 ARF 的兼容性,该规范强制要求访问控制执行器必须支持 UICC 回退到 ARF。 可以预期 UICC 的以下过渡场景: • 仅使用 ARF 部署的 UICC 可以通过无线加载和安装 ARA 小程序升级到本规范中的解决方案。 • UICC 发行者可能决定安装(在生产中或无线)能够评估ARF 规则的ARA-M 小程序。 这将允许使用(仅)RFM 来管理其 UICC 的网络运营商继续这样做并将其规则提供给 ARF 文件系统。 • 另一个 UICC 发行者可能决定安装(在生产中或无线)无法评估 ARF 规则的 ARA-M 小程序,将所有规则从 ARF 迁移到 ARA-M,并完全删除 ARF 。
附件 G
访问规则解释
表 G-1 定义了在使用 GET DATA [All] 检索规则时,访问控制执行器应如何解释 ARA 访问规则策略
表 G-2 定义了当从 ARF 或具有 ARF 读取能力的 ARA-M 检索规则时,访问控制执行器应如何解释 ARF 访问规则策略。
注意:当多个规则应用于同一访问请求时,聚合和冲突解决应由访问控制执行器执行,使用第 3.4.1 节中定义的算法。 但是,该算法不考虑缺失的属性。 仅当规则冲突解决或组合的结果中缺少属性时,才应按表 G-1(从 ARA-M 读取的规则)或表 G-2(从 ARF 读取的规则)中定义的规则进行解释。