Giai đoạn đăng ký thiết bị chuẩn bị một thiết bị để lưu trữ DC bằng cách đăng ký khoá nhận dạng trong hệ thống của Tổ chức phát hành.
Luồng yêu cầu
Nội dung mô tả quy trình công việc
| Bước | Nguồn | Mô tả |
|---|---|---|
| 1 | Thiết bị chạy hệ điều hành Android |
Một yêu cầu DC mới đã được tạo trên thiết bị của người dùng. Tổ chức phát hành phải tạo một khoá nhận dạng mới. Thiết bị của người dùng gọi getDeviceRegistrationNonce để bắt đầu quy trình này.
|
| 2 | Các máy chủ của Google |
Google chuyển tiếp yêu cầu getDeviceRegistrationNonce đến Tổ chức phát hành.
|
| 3 | Máy chủ của tổ chức phát hành |
Bên phát hành tạo một số chỉ dùng một lần, lưu trữ số đó bằng deviceReferenceId và trả về số chỉ dùng một lần cho Google.
|
| 4 | Các máy chủ của Google | Google chuyển số chỉ dùng một lần đến thiết bị của người dùng. |
| 5 | Thiết bị chạy hệ điều hành Android |
Thiết bị của người dùng ký số chỉ dùng một lần và nhúng số đó vào chứng chỉ x509.
Tham số này có trong lệnh gọi registerDevice để xác minh thiết bị.
|
| 6 | Các máy chủ của Google | Google chuyển cuộc gọi registerDevice đến Nhà phát hành. |
| 7 | Máy chủ của tổ chức phát hành | Bên phát hành thực hiện quy trình kiểm tra tính toàn vẹn của thiết bị và lưu trữ khoá nhận dạng được liên kết với thiết bị. |
Cách xác minh tính toàn vẹn của thiết bị
Chứng thực thiết bị là một tính năng bảo mật cho phép các tổ chức phát hành xác minh tính toàn vẹn của thiết bị trước khi đăng ký. Điều này giúp ngăn chặn việc đăng ký những thiết bị đã bị can thiệp hoặc đang chạy phần mềm trái phép.
Để xác minh tính toàn vẹn của thiết bị, nhà phát hành nên:
- Xác thực chuỗi chứng chỉ được gửi trong yêu cầu
/registerDevice. Chứng chỉ gốc trong chuỗi phải khớp với chứng chỉ do Google cung cấp. - Đảm bảo rằng chứng chỉ gốc không nằm trong Danh sách thu hồi chứng chỉ.
- Phân tích cú pháp chứng chỉ gốc, đọc các tiện ích và xác minh những nội dung sau:
- Giá trị
attestationChallengekhớp vớinonceđược gửi trong quá trình thực hiện thao tác/getDeviceRegistrationNonce. teeEnforced.rootOfTrustcó các thuộc tính sau:deviceLocked=TRUEverifiedBootState=VERIFIED
- Tên gói trong
softwareEnforced.attestationApplicationIdkhớp vớicom.google.android.gmshoặccom.google.android.gsf.
- Giá trị
Giải thích các phần khác nhau của quy trình chứng thực thiết bị
- Chuỗi chứng chỉ: Chuỗi chứng chỉ là một loạt chứng chỉ xác thực danh tính của thiết bị. Chứng chỉ gốc trong chuỗi là chứng chỉ đáng tin cậy nhất và mỗi chứng chỉ tiếp theo trong chuỗi đều được chứng chỉ ở trên ký.
- Danh sách thu hồi chứng chỉ: Danh sách thu hồi chứng chỉ (CRL) là một danh sách các chứng chỉ đã bị thu hồi vì một lý do nào đó. Nếu chứng chỉ gốc trong chuỗi chứng chỉ chứng thực thiết bị nằm trên CRL, thì chứng chỉ đó không hợp lệ và bạn không nên tin tưởng chứng thực thiết bị.
- Leaf certificate: Leaf certificate là chứng chỉ dành riêng cho thiết bị. Tệp này chứa thông tin về thiết bị, chẳng hạn như giá trị nhận dạng phần cứng và phiên bản phần mềm của thiết bị.
- Tiện ích: Tiện ích là những thông tin bổ sung có trong chứng chỉ. Chứng chỉ chứng thực thiết bị chứa một số tiện ích dùng để xác minh tính toàn vẹn của thiết bị. Để biết thêm thông tin, hãy tham khảo giản đồ dữ liệu của tiện ích chứng chỉ.