Cihaz kaydı aşamasında, veren kuruluşun sistemine bir kimlik anahtarı kaydedilerek cihaz, DC depolamaya hazırlanır.
İstek akışı
Akış açıklaması
| Step | Kaynak | Açıklama |
|---|---|---|
| 1 | Android destekli cihaz |
Kullanıcının cihazında yeni bir DC isteği oluşturuldu. Yeni bir kimlik anahtarı, Düzenleyen tarafından oluşturulmalıdır. Kullanıcının cihazı, bu işlemi başlatmak için getDeviceRegistrationNonce'ı arar.
|
| 2 | Google sunucuları |
Google, getDeviceRegistrationNonce isteğini Kartı Veren'e iletir.
|
| 3 | Düzenleyen sunucuları |
Düzenleyen, bir nonce oluşturur, bunu deviceReferenceId ile birlikte saklar ve nonce'u Google'a döndürür.
|
| 4 | Google sunucuları | Google, tek kullanımlık rastgele sayıyı kullanıcının cihazına iletir. |
| 5 | Android destekli cihaz |
Kullanıcının cihazı, tek kullanımlık sayıyı imzalar ve x509 sertifikasına yerleştirir.
Bu, cihazı doğrulamak için yapılan registerDevice çağrısına dahildir.
|
| 6 | Google sunucuları | Google, registerDevice aramayı Kartı Veren Kuruluş'a yönlendirir. |
| 7 | Düzenleyen sunucuları | Düzenleyen, cihaz bütünlüğü kontrollerini gerçekleştirir ve cihazla ilişkili kimlik anahtarını saklar. |
Cihaz bütünlüğünü doğrulama
Cihaz onayı, kartı veren kuruluşların cihazı kaydetmeden önce bütünlüğünü doğrulamasını sağlayan bir güvenlik özelliğidir. Bu sayede, kurcalanmış veya yetkisiz yazılım çalıştıran cihazların kaydedilmesi önlenir.
Cihazın bütünlüğünü doğrulamak için kartı veren kuruluş şunları yapmalıdır:
/registerDeviceisteğinde gönderilen sertifika zincirini doğrulayın. Zincirdeki kök sertifika, Google tarafından sağlanan sertifikayla eşleşmelidir.- Kök sertifikanın Sertifika İptal Listesi'nde yer almadığından emin olun.
- Yaprak sertifikayı ayrıştırın, uzantıları okuyun ve aşağıdakileri doğrulayın:
attestationChallengedeğeri,/getDeviceRegistrationNonceişlemi sırasında gönderilennonceile eşleşir.teeEnforced.rootOfTrustşu özelliklere sahiptir:deviceLocked=TRUEverifiedBootState=VERIFIED
softwareEnforced.attestationApplicationIdPaket adlarıcom.google.android.gmsveyacom.google.android.gsfile eşleşir.
Cihaz doğrulama sürecinin farklı bölümlerinin açıklaması
- Sertifika zinciri: Sertifika zinciri, cihazın kimliğini doğrulayan bir dizi sertifikadır. Zincirdeki kök sertifika en güvenilir sertifikadır ve zincirdeki her sonraki sertifika, üstündeki sertifika tarafından imzalanır.
- Sertifika İptal Listesi: Sertifika İptal Listesi (CRL), herhangi bir nedenle iptal edilmiş sertifikaların listesidir. Cihaz onaylama sertifikası zincirindeki kök sertifika CRL'de ise sertifika geçersizdir ve cihaz onaylamaya güvenilmemelidir.
- Varlık sertifikası: Varlık sertifikası, cihaza özel olan sertifikadır. Cihazla ilgili bilgiler (ör. donanım tanımlayıcıları ve yazılım sürümü) içerir.
- Uzantılar: Uzantılar, sertifikaya dahil edilen ek bilgilerdir. Cihaz onay sertifikası, cihazın bütünlüğünü doğrulamak için kullanılan bir dizi uzantı içerir. Daha fazla bilgi için sertifika uzantısı verileri şemasına bakın.