3.2 Specific Features for NFC Access Rule Enforcement
3.2 NFC 访问规则执行的特定功能
NFC 触发事件访问规则通常由 NFC API 实现(也称为 NFC 堆栈)强制执行。 这意味着 NFC API 实现包含一个访问控制执行器。 该执行器可能完全独立于 SE 访问 API 中的访问控制执行器工作。
Access Control Enforcer 需要 NFC API 的功能来确定哪个安全元件发送了 HCI EVT_TRANSACTION。 然后,访问控制执行器将应用从该安全元件中检索到的 NFC 规则。 为了提高效率,NFC 规则应缓存在设备中(缓存可以在 NFC 堆栈或设备中的其他位置实现)。 访问控制执行器必须按照第 4.2.1 节中定义的过程应用这些规则。
4.2 Access Control Evaluation Steps
本节描述设备上的访问控制执行器在评估来自 ARA-M 的规则以符合 SE 访问控制策略时应如何表现。 设备可以通过两种不同的方式使用安全元件上的访问控制机制。 设备要么提前从安全元件中获取所有规则,要么在每次请求访问时查询安全元件应用程序。 以下部分解释了每个使用场景。
设备使用规则缓存时的顺序: 预备步骤:在设备执行环境初始化期间,访问控制执行器使用 GET DATA [All] 命令从所有可用的安全元件中获取规则。 在此操作之后,规则必须与从中获取它们的安全元件保持关联,并且仅适用于对该安全元件的访问。 第 1 步:设备应用程序使用 SE Access API 打开与驻留在安全元件中的应用程序的通信通道。 第 2 步:此请求被转发到设备上的访问控制执行器。 第 3 步:Access Control Enforcer 检索调用应用程序的 DeviceAppID。 如果设备应用程序在 REE 中运行并且具有多个签名,则访问控制执行器会检索每个签名的每个证书。 然后执行者计算每个证书的散列值(当前为 SHA-1)。 如果设备应用程序由链式证书签名,请考虑第 4.3 节中的更详细说明。 第 4 步:访问控制执行器使用 GET DATA [刷新标签] 从目标安全元件上的 ARA-M 获取刷新标签。 如果返回的刷新标签与先前从该安全元件获得的值不同,则访问控制执行器会为目标安全元件获取整个规则集的新副本。 第 5 步:访问控制执行器根据调用应用程序的 DeviceAppID 和安全元件上的目标 AID 评估规则。 请参阅第 4.2.3 节。 如果未授予访问权限,则会向调用应用程序返回一个错误,并且不会采取进一步的操作。 如果访问被授予,则 SE 访问 API 将执行所有必要的操作以打开安全元件的通道(例如管理通道命令和应用程序选择)。 第 6 步:APDU 传输后,访问控制执行器应用适用于连接的 APDU 过滤(如果有)。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
