文章介绍了访问控制规则冲突解决的三个方面:具体规则优先、终端实体证书优先和限制性规则优先。具体规则涉及安全元件和设备应用程序的关联,终端实体证书考虑签名证书的优先级,而限制性规则关乎权限的允许程度。当多个规则冲突时,ARA-M或访问控制执行器负责合并和解决冲突,遵循特定到通用、严格到宽松的优先级顺序。
3.3 Introduction to Access Control Rule Conflict Resolution
3.3 访问控制规则冲突解决简介
本节从高层次讨论访问控制规则冲突解决。 本文档稍后会提供更多详细信息。 规则的优先级不是基于它在其他规则中的阅读顺序。 管理冲突规则的策略基于三个基本原则(按顺序):
1、具体规则优先。
2. 与终端实体证书关联的规则具有优先权(在证书链的情况下)。
3.限制性规则优先
3.3.1 具体规则优先
特定规则是关联以下内容的规则:
• 一个安全元件应用程序,通过指定其 AID 或通过指定隐式选择的应用程序和
• 通过指定其 DeviceAppID 的设备应用程序
所有其他规则都被视为通用规则。 通用规则是适用于:
• 安全元件应用程序,通过指定其 AID 或通过为未明确指定的设备应用程序指定隐式选择的应用程序(即规则中未指定 DeviceAppID)或
• 设备应用程序通过为未明确指定的安全元件应用程序指定其 DeviceAppID(即规则中未指定 AID)或
• 具有未定义设备应用程序的未定义安全元件应用程序(即,当 AID 和 DeviceAppID 都不存在于任何其他规则中时,将应用此规则)
注意:一般情况下,在考虑规则时,隐式选择的应用程序被视为“具有未知 AID 的特定应用程序”。 安全警告:在支持每个逻辑通道隐式选择不同应用程序概念的 GlobalPlatform 2.2 安全元件上,无论逻辑通道如何,“隐式选择的应用程序”都将适用。 规则按表 3-1 中定义的最具体到最不具体进行评估。
明确引用了安全元素应用程序?
明确引用了设备应用程序?
3.3.2 终端实体证书优先
如果设备应用程序使用证书链中的证书进行签名,则在搜索最具体的规则时,搜索首先基于用于对应用程序进行签名的证书(最终实体证书),然后是下一个证书 链,依此类推,直到找到具有适当特定级别的证书,或者确定链中没有证书具有该级别。 只有这样,搜索才会继续进行到下一个较低的特异性级别。
3.3.3 限制性规则优先
最严格的规则是那些禁止访问设备应用程序以访问 SE 应用程序的规则。 限制较少的规则允许访问,但仅限于使用特定 APDU 时。 限制最少的规则总是允许设备应用程序访问 SE 应用程序。 最严格的规则优先
3.4 访问控制规则组合与冲突解决
当多个规则应用于同一访问请求时,聚合和冲突解决应由 ARA-M 或访问控制执行器执行:
• 如果访问控制执行器使用GET DATA [All] 从安全元件获取所有规则,则访问控制执行器负责合并和解决冲突(如果有)。
• 如果访问控制执行器使用GET DATA [Specific](不推荐)获取特定访问请求的访问规则,则ARA-M 有责任合并并解决潜在的冲突。 ARA-M 应确定是否存在适用于定义的引用(由特定或通用设备应用程序标识符和特定或通用 SE 应用程序标识符组成)的多个规则(例如,在 SE 内的不同存储位置)。 然后 ARA-M 将解决冲突(如果有的话),并返回如下所述合并的访问规则数据。
可能会发生规则冲突,尤其是当规则存储在不同位置(ARA-C、ARA-M 或 ARF)时。 ARA 实施应尽可能避免潜在的冲突:
如果同一目标(AID 和 DeviceAppID)的规则已经存在于 SE 的另一个 ARA 中,则任何 ARA 都应拒绝提供规则。 服务提供商将被告知专用状态字“6A 89”。
ARA 将无法检测到与 ARF 中存储的规则的冲突。
但是,在以下情况下,SE 中可能存在适用于同一目标(AID 和 DeviceAppID)的规则:
• 如果规则预先安装在ARA 中并且在ARA 实例化或注册到ARA-M 之后立即可用。
注意:在 ARA 中预先安装访问规则未在本规范中指定,并且可能不会由 ARA 实施。
• 如果ARA-M 从ARF 读取规则。
注意:ARA-M 从 ARF 读取访问规则是一项可选功能。
• 如果ARA-C 被锁定并稍后再次解锁,同时更新了ARA-M 或另一个ARA-C。
如果 ARA-M/ARA-C 实现保证同一目标(AID、DeviceAppID)在 SE 中只存在一个规则,那么 ARA-M 不需要考虑以下算法来解决冲突或合并规则。
如第 3.3.1 节所述,特定规则优先于通用规则。 这种严格的优先级应由访问控制执行器强制执行。 因此,访问控制执行器应首先查找适用于目标 SE 应用程序和目标设备应用程序的规则,并且仅当未找到特定规则时才查找通用规则。2 如果多个规则适用于同一目标(即相同的 REF-DO),然后这些规则被聚合并且更严格的规则优先于更宽松的规则。 如果多个规则适用于同一目标,则应适用以下逻辑:
• 如果访问规则发生冲突,则根据以下优先级顺序,仅应用具有最高优先级的规则:
从不 (APDU) > APDU 过滤器 > 总是 (APDU)
从不(NFC)> 总是(NFC)
• 如果访问规则属于不同类型(即 NFC 许可、APDU 许可),则两个规则组合在一起,因此两个规则都适用。
• 如果多个访问规则包含APDU 过滤器,那么这些应该在每个OR 操作中组合。 这意味着如果以下过滤器之一匹配,则允许 APDU:
AR1-APDU filter || AR2-APDU filter || AR3-APDU filter || AR4-APDU filte
表 3-2 总结了当两个规则(R1、R2)发生冲突时应用哪个规则。 另见附件 D,其中提供了详细示例。 在此表中,“R1+R2”指的是两个规则的组合,其中合并了 APDU 策略(从不允许、APDU 过滤器或始终允许)和 NFC 事件策略(从不允许、始终允许)。
如果规则适用于特定 SE 应用程序,则应应用以下逻辑: • 如果仅存在一个将设备应用程序的 DeviceAppID 与特定 SE 应用程序的 AID 相关联的规则,则拒绝从所有其他设备应用程序访问该 SE 应用程序 .(1vs1)
• 如果存在多个特定规则,每个规则都将不同设备应用程序的 DeviceAppID 与同一 SE 应用程序的 AID 相关联,则拒绝不存在此类规则的所有设备应用程序访问该 SE 应用程序(多对1)
扫一扫
602
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
