การลงทะเบียนอุปกรณ์

ระยะการลงทะเบียนอุปกรณ์จะเตรียมอุปกรณ์สำหรับการจัดเก็บ DC โดยการลงทะเบียนคีย์ข้อมูลระบุตัวตนในระบบของผู้ให้บริการ

ลำดับการส่งคำขอ

คำอธิบายโฟลว์

ขั้นตอน แหล่งที่มา คำอธิบาย
1 อุปกรณ์ที่ขับเคลื่อนโดย Android มีการสร้างคำขอ DC ใหม่ในอุปกรณ์ของผู้ใช้ แล้ว ผู้ออกบัตรต้องสร้างคีย์ประจำตัวใหม่ อุปกรณ์ของผู้ใช้ จะโทรหา getDeviceRegistrationNonce เพื่อเริ่มกระบวนการนี้
2 เซิร์ฟเวอร์ของ Google Google ส่งต่อคำขอ getDeviceRegistrationNonce ไปยัง ผู้ออกใบรับรอง
3 เซิร์ฟเวอร์ของผู้ออกใบรับรอง ผู้ออกสร้าง Nonce จัดเก็บไว้กับ deviceReferenceId และส่ง Nonce กลับไปให้ Google
4 เซิร์ฟเวอร์ของ Google Google ส่งต่อ Nonce ไปยังอุปกรณ์ของผู้ใช้
5 อุปกรณ์ที่ขับเคลื่อนโดย Android อุปกรณ์ของผู้ใช้จะลงนามใน Nonce และฝังไว้ในใบรับรอง x509 ซึ่งรวมอยู่ในคำสั่งเรียก registerDevice เพื่อยืนยัน อุปกรณ์
6 เซิร์ฟเวอร์ของ Google Google จะส่งต่อสายเรียกเข้า registerDevice ไปยังผู้ออกบัตร
7 เซิร์ฟเวอร์ของผู้ออกใบรับรอง ผู้ออกใบรับรองจะตรวจสอบความสมบูรณ์ของอุปกรณ์และจัดเก็บคีย์ระบุตัวตน ที่เชื่อมโยงกับอุปกรณ์

วิธียืนยันความสมบูรณ์ของอุปกรณ์

การรับรองอุปกรณ์เป็นฟีเจอร์ความปลอดภัยที่ช่วยให้ผู้ออกบัตรยืนยัน ความสมบูรณ์ของอุปกรณ์ก่อนลงทะเบียนได้ ซึ่งจะช่วยป้องกันการลงทะเบียนอุปกรณ์ที่ ถูกดัดแปลงหรือใช้อยู่ในซอฟต์แวร์ที่ไม่ได้รับอนุญาต

หากต้องการยืนยันความสมบูรณ์ของอุปกรณ์ ผู้ออกใบรับรองควรทำดังนี้

  1. ตรวจสอบห่วงโซ่ใบรับรองที่ส่งในคำขอ /registerDevice ใบรับรองรูทในเชนต้องตรงกับ ใบรับรอง ที่ Google ให้
  2. ตรวจสอบว่าใบรับรองรูทไม่ได้เป็นส่วนหนึ่งของรายการยกเลิกใบรับรอง
  3. แยกวิเคราะห์ใบรับรองแบบลีฟ อ่านส่วนขยาย และยืนยันข้อมูลต่อไปนี้
    • attestationChallenge ค่าตรงกับ nonce ที่ส่งระหว่างการดำเนินการ /getDeviceRegistrationNonce
    • teeEnforced.rootOfTrust มีพร็อพเพอร์ตี้ต่อไปนี้
      • deviceLocked=TRUE
      • verifiedBootState=VERIFIED
    • ชื่อแพ็กเกจใน softwareEnforced.attestationApplicationId ตรงกับ com.google.android.gms หรือ com.google.android.gsf

คำอธิบายส่วนต่างๆ ของกระบวนการรับรองอุปกรณ์

  • ชุดใบรับรอง: ชุดใบรับรองคือชุดใบรับรอง ที่ตรวจสอบสิทธิ์ตัวตนของอุปกรณ์ ใบรับรองรูท ในชุดเป็นใบรับรองที่เชื่อถือได้มากที่สุด และใบรับรองถัดไปแต่ละใบ ในชุดจะได้รับการลงนามโดยใบรับรองที่อยู่เหนือใบรับรองนั้น
  • รายการยกเลิกใบรับรอง: รายการยกเลิกใบรับรอง (CRL) คือรายการใบรับรองที่ถูกเพิกถอนด้วยเหตุผลบางประการ หากใบรับรองรูทในกลุ่มใบรับรองการรับรองอุปกรณ์อยู่ใน CRL แสดงว่าใบรับรองไม่ถูกต้องและไม่ควรเชื่อถือการรับรองอุปกรณ์
  • ใบรับรอง Leaf: ใบรับรอง Leaf คือใบรับรองที่ เฉพาะเจาะจงสำหรับอุปกรณ์ ซึ่งมีข้อมูลเกี่ยวกับอุปกรณ์ เช่น ตัวระบุฮาร์ดแวร์และเวอร์ชันซอฟต์แวร์
  • ส่วนขยาย: ส่วนขยายคือข้อมูลเพิ่มเติมที่รวมอยู่ในใบรับรอง ใบรับรองการรับรองอุปกรณ์มี ส่วนขยายหลายรายการที่ใช้เพื่อยืนยันความสมบูรณ์ของอุปกรณ์ ดูข้อมูลเพิ่มเติมได้ที่สคีมาข้อมูลส่วนขยายใบรับรอง