Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Защищенное хранилище
|
|
Защищенное хранилище держателя токена - это физический носитель, где хранятся открытый и секретный ключи, а также подпись открытого ключа, созданная дистрибьютером. Другое предназначение защищенного хранилища - это хранение токенов для последующей передачи посредством NFC канала или основного (сетевого) соединения телефона. Защищенное хранилище в NFC мобильном устройстве реализуется посредством элемента безопасности.
Защищенное хранилище держателя токена
Протоколы взаимодействия участников системы
Установление протоколов взаимодействия необходимо для управления следующими процессами:
1. обмен ключами (инициализация),
2. формирование токенов (эмиссия),
3. заказ токенов (дистрибуция),
4. верификация токена.
Обмен ключами (инициализация)
В фазе инициализации устанавливается приложение для управлением токеном, который хранится в элементе безопасности мобильного устройства, и инициализируется защищенное хранилище держателя токена. Каждый участник системы генерирует свой открытый и секретный ключ. Эмитент токена и держатель токена передают свои открытые ключи дистрибьютеру токена, который подписывает данные ключи своим секретным ключом и передает подпись обратно. Для подтверждения подписи эмитент и держатель также получают открытый ключ дистрибьютера.
Обмен ключами между эмитентом и дистрибьютером
Обмен ключами между держателем и дистрибьютером
Формирование токена (эмиссия)
Подготовка токенов выполняется в два этапа. На первом шаге эмитент отправляет свою часть идентификатора события дистрибьютеру. Дистрибьютер завершает идентификатор события, подписывает общий идентификатор события своим секретным ключом и отсылает обратно эмитенту. Теперь эмитент может подтвердить подписанный идентификатор события с помощью открытого ключа дистрибьютера, полученного в течение обмена ключами.
Формирование идентификатора события с подписью дистрибьютера
На втором шаге эмитент передает подписанный идентификатор события и открытый ключ дистрибьютера верификатору. Теперь верификатор может сверить токены, которые необходимы для события с полученным ID.
Передача идентификатора события верификатору
Заказ токена (дистрибуция)
Сначала эмитент заполняет поля токена, описанные в таблице (Таблица 1). Затем он подписывает токен секретным ключом и отправляет его вместе с подписью открытого ключа дистрибьютеру. С использованием открытого ключа эмитента дистрибьютер может подтвердить достоверность подписи токена. Перед распределением токена держателю дистрибьютер сверяет, валиден ли идентификатор события и не занесен ли он в черный список.
Так как удаленное соединение не является безопасным, дистрибьютер зашифровывает токен с использованием открытого ключа держателя. Поэтому только авторизованный держатель может расшифровать токен. Зашифрованный пакет подписывается общим ключом дистрибьютера. С помощью общего ключа дистрибьютера держатель может сверить подпись зашифрованного токена и проверить, пришел ли он от безопасного источника. В этом случае токен расшифровывается с использованием секретного ключа держателя и сохраняется в защищенное хранилище держателя. Хранение простого токена не является проблемой, т.к. хранилище само по себе является безопасным.
OTA передача токена держателю