Az elektronikus azonosítás biztonsági megoldásai Kártyatartalom menedzsment TSM rendszerekben
Készítette
Sári Zoltán Óbudai Egyetem Neumann János Informatikai Kar 2013. november
1
1. A TSM-ek jelentősége az NFC ökoszisztémában Az NFC technológia kiemelkedő üzleti lehetőséget kínál a mobilalkalmazásokon keresztül nyújtható szolgáltatások lebonyolítására. Az NFC-képes mobileszközöket a végfelhasználók számtalan célra használhatják (például fizetés, jegyvásárlás, loyalty programok) és a használat elterjedése dinamikusan növekszik. Az NFC szolgáltatásokban rejlő lehetőségek kiaknázása érdekében az NFC ökoszisztéma több szereplő (aktor) együttműködését és kompetenciáik kombinálását feltételezi. Az NFC ökoszisztéma főbb szereplői
Az NFC ökoszisztéma főbb résztvevői (amennyiben a SE-et az UICC tartalmazza): -
SP: szolgáltatást nyújt a ügyfelei számára, amelynek feltétele az alkalmazásuk implementálása az UICC kártyára (bankok, közlekedési vállalatok, kereskedők, stb) MNO: UICC és a legtöbb esetben egy OTA platform tulajdonosa (egyben SEI) TSM: az SP és az MNO közötti kapcsolat technikai feltételeinek biztosítója, lehetővé teszi o MNO és az SP kölcsönös üzenetváltását biztonságos csatornán keresztül o az SP által nyújtott NFC szolgáltatás menedzselését (SP megbízásából) o egykapus kapcsolattartás lehetőségének biztosítását a végfelhasználókkal
Az NFC rendszerek megkövetelik a különböző üzleti környezetben működő résztvevők integrálását egy alkalmazási környezetbe. Az SP-k és az MNO-k közötti együttműködési nehézségek az egyik legnagyobb akadályát jelentik az NFC szolgáltatások terjedésének. Természetszerűleg az SP-eknek nem áll érdekükben egyetlen MNO felé elköteleződni és az MNO-k is törekednek minél több SP-vel együttműködni. Mindezek a kapcsolatok komplexitásához vezetnek. A gyakorlatban a kapcsolatok komplexitásának redukálása és a résztvevők integrálása a TSM-eken keresztül valósul meg.
2
A TSM-ek jelentősége az NFC ökoszisztéma résztvevőinek integrálásában
Az érintés nélküli tranzakciók teljesítése, az adatok letöltése és egy NFC képes mobileszközön való tárolása során az érzékeny alkalmazások számára állandó biztonság és bizalmasság szükséges. Az NFC szolgáltatásokat nyújtó SP-ek és az MNO-k között egy olyan technikai összeköttetést szükséges kiépíteni, amely megfelel e követelményeknek. Az SP és az MNO-k közötti együttműködésért és az egész NFC ökoszisztéma biztonságáért a TSM felel. Az üzleti racionalitás megköveteli a kiépítendő együttműködés partnereinek megbízhatóságát és egy harmadik, független fél bevonását igényli a megbízható szolgáltatás (a kulcs és tanúsítvány) menedzsmentbe. A TSM mediátori szerepet tölt be, aki üzleti szabványokat (governance szerepkör) és technikai kommunikációkat alakít ki az MNO, SP és más résztvevők között1 (operációs szerepkör). A TSM főbb funkciók -
MNO és az SE közötti kommunikáció támogatása a biztonságos adatcsere biztosítása az érintésnélküli alkalmazások menedzselése az életciklus alatt új felhasználók regisztrálása (Security Domain létrehozása, érintés nélküli alkalmazások telepítése és megszemélyesítése OTA-n) szolgáltatások aktiválása, deaktiválása felhasználói interfész karbantartása NFC ügyfelek adatbázis menedzsmentje
A TSM szerepe nemcsak a tranzakciók biztosítására korlátozódik, hanem magában foglalja az mobileszközökön futó alkalmazások életciklus menedzsmentjét és bizonyos esetekben az SE menedzsmentjét is. 1
A szabványok biztosítják az interoperabilitást több szinten: - üzleti adatok, jellemzők: egységes nyelvezet megteremtése (felhasználási feltételek, egyértelmű szabályok) - üzleti folyamatok: szerepek és felelősségek meghatározása (funkciók átfogó listája) - adatcsere: adatszerkezet (XML)
3
2. Kártyatartalom menedzsment TSM-ek bevonásával, UICC kártyán Az NFC infrastruktúrára épülő üzleti modellekben a mobiltelefonok biztonságot és bizalmasságot biztosító komponense a Secure Element (SE). Az NFC mobilokban található SEk három tipikus elhelyezkedése az alábbi ábrán látható. A Secure Element elhelyezésének lehetőségei
A UICC kártyán lévő alkalmazások előnye a kártya felhasználóhoz kapcsolásának egyértelműsége, ezzel a rendszerhez magas biztonság társítható. (További előnyöket jelent a hordozhatóság, a távoli elérés, globális elterjedtség, stb) A rendszer menedzselése OTA (over the air) alkalmazási platformot igényel, így az MNO kulcs szerepet játszik azzal, hogy infrastruktúráját a menedzselés OTA platformjaként biztosítja. Kizárólag a SE tulajdonosa (SEI) számára állnak rendelkezésre az SE memóriájában tárolt információk eléréséhez szükséges kulcsok. NFC rendszerekben az SE általában az MNO tulajdonában álló UICC kártyán helyezkedik el, ezáltal az MNO-nak lehetősége van partnerei (TSM, SP) számára az UICC elérhetőséget a számára megfelelő üzleti modell és megszemélyesítési jellemzők megválasztása mellett biztosítani. A kártyatartalom menedzselése során a TSM felel mindazért, hogy a kibocsátás -beleértve a feltöltést, megszemélyesítést valamint életciklus menedzsmentet - biztonságos és szabványos módon jöhessen létre és bármilyen mobil készüléken, kompatibilis biztonsági elemmel (SE) és bármely GSM szolgáltató hálózatán működjön. A megbízható CCM az alábbi standard mechanizmusokat biztosítja: -
a Security Domain kezdeti kulcskészletének bizalmas töltése az alkalmazás kód bizalmas töltése az APDU parancsok bizalmas küldése a Security Domain-ra az alkalmazás perszonalizációja és a tartalom kezelése
A TSM-ek szerepvállalása a kártyatartalom-menedzsment terén, lehetővé tette az MNO-k számára, hogy alaptevékenységükre fókuszálhassanak és ne az alkalmazások és az adatok
4
kezelésének kérdéseire. A kártyatartalom menedzselésére három fő koncepció alakult ki a különböző üzleti modellekben: -
-
simple mode: a kártyatartalmat kizárólag az MNO menedzseli, de a műveleteket a TSM nyomon követi (kártyakibocsátó centrikus modell): TSM kéri az SEP-t, hogy végezze el a CCM műveletet, aki ezután visszatér a végrehajtás eredményével delegated mode: a kártyatartalom menedzselése delegálható a TSM-hez, de minden művelethez az MNO engedélye szükséges authorized (dual) mode: a TSM teljes felhatalmazást kap a kártyatartalom menedzselésére és a szereplők teljesen függetlenek a műveletek végrehajtásában (SE egy adott területen a TSM önállóan végezhet CCM műveleteket, a SEP pedig szintén önálló marad a saját SE területen) A kártyatartalom menedzsment (CCM) módok
3. Simple mód Simple módban a CCM az MNO hatásköre, csak az MNO képes alkalmazást tölteni az UICCra. Az SP tárterületet bérel az MNO-tól, amelyre telepíteni kívánja az NFC alkalmazását. Mivel az SP nem képes az alkalmazás telepítésére és konfigurálására, ezért megbíz egy (SDM szerepet játszó) TSM-et az MNO-val való kommunikálásra. Az SP felkéri a TSM-et az APDU (Application Protocol Data Unit) parancskészlet létrehozására és azok MNO TSM-éhez történő továbbítására, így az MNO telepíti az SP alkalmazását az UICC-ra. Két szcenárió különböztethető meg attól függően, hogy a TSM saját OTA platformon végzi el az alkalmazás megszemélyesítését vagy sem.
5
a. Simple mode MNO OTA platformján A forgatókönyv az alábbi feltételezésekre épül: -
-
SP a teljes alkalmazás menedzsmentet a TSM-re delegálta, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását és az alkalmazás telepítését és megszemélyesítését TSM az MNO OTA platformját használja mind az APSD létrehozására, mind az alkalmazásmenedzsmentre Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható módon A szerepek megosztása
b. Simple mód az MNO és a TSM OTA platformján A forgatókönyv az alábbi feltételezésekre épül: -
SP a teljes alkalmazásmenedzsmentet a TSM-re delegálja TSM az MNO OTA platformját használja az APSD létrehozására, de a sajátját a megszemélyesítésre Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható módon
6
A szerepek megosztása
4. Delegated mód A delegált szolgáltatás menedzsment a delegated mode-ot támogató kártyák köré szerveződik. Az MNO nem tartozik felelősséggel az alkalmazás telepítéséért, aktiválásáért és eltávolításáért. A CCM a TSM által megvalósított, az MNO előzetes felhatalmazása mellett. A delegated módban az SDM szerep megosztásra kerül: az MNO generálja a Tokent a művelethez, míg a CCM parancsok kiadásában és a globális szolgáltatásmenedzsmentben a TSM játssza az SDM-et. A legtöbb esetben a bizalmasság miatt az SP önmaga menedzseli az alkalmazás perszonalizációját, megvédve ezzel az ügyfeleit érintő alkalmazás kulcsokat és adatokat a harmadik fél által történő manipuláció lehetőségétől. Két szcenárió különböztethető meg attól függően, hogy a SP delegálja az alkalmazás perszonalizációt a TSM-re vagy sem. a. Delegated mode teljes TSM felhatalmazással A forgatókönyv az alábbi feltételezésekre épül: -
-
SP a teljes alkalmazás menedzsmentet a TSM-re delegálta, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és megszemélyesítését A TSM saját OTA platformját használja, de a tokent az MNO küldi el TSM számára a CCM akció előzetes felhatalmazása érdekében az alkalmazás zárolásához és feloldásához, valamint a perszonalizációhoz DM token nem szükséges
7
-
Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható módon A szerepek megosztása
Különböző esetek lehetségesek a TSM számára az UICC-on lévő alkalmazások kezelésére: -
SP alkalmazás közvetlenül feltölthető a TSM SD alá egy dedikált APSD rendelhető az alkalmazáshoz, a jövőben a TSM felkérhető az SP által az alkalmazás zökkenőmentes átadására másik TSM-hez, ekkor a korábbi TSMnek át kell adnia az APSD-t és tartalmát az új TSM részére
b. Delegated mode az SP általi perszonalizációval A forgatókönyv az alábbi feltételezésekre épül: -
-
SP az alkalmazás telepítését a TSM-re delegálja, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és aktiválását a TSM saját OTA platformját használja, de a tokent az MNO küldi el TSM számára a CCM akció előzetes felhatalmazása érdekében DM token nem szükséges az alkalmazás zárolásához és feloldásához, valamint a perszonalizációhoz az SP végzi el az alkalmazás megszemélyesítését a perszonalizáló script előkészítésével és az UICC-ra küldésével a TSM OTA biztonságos útján Az APSD kulcsok az SP által kerülnek létrehozásra ill. visszavonásra egy megbízható módon
8
A szerepek megosztása
5. Dual (authorized) mód A felhatalmazott szolgáltatás menedzsment az authorized mode-ot támogató kártyák körül szerveződik. Az SP alkalmazását kezelő TSM képes a folyamatot közvetlen, MNO által nyújtott felhatalmazás nélkül elvégezni. Ez a mód használható a TSM részére a saját SD hierarchiája menedzselésének engedélyezésére és a CCM lebonyolítására az MNO felhatalmazása nélkül. Három szcenárió különböztethető meg attól függően, hogy a SP delegálja az alkalmazás perszonalizciót a TSM-re vagy sem. a. Authorized Mode a TSM teljes felhatalmazásával A forgatókönyv az alábbi feltételezésekre épül: -
-
SP az CCM-et a TSM-re delegálja, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és perszonalizációját a TSM saját OTA platformját használja és az MNO felhatalmazása nélkül teljes rugalmassággal hozhat létre SD-t és telepíthet alkalmazásokat a TSD hierarchiába. Mind emellett TSM-nek szüksége lehet az MNO felhatalmazására a memória terület TSD hierarchiához való hozzárendeléséhez. Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható módon
9
A szerepek megosztása
b. Authorized Mode SCP02-re építve A forgatókönyv az alábbi feltételezésekre épül: -
-
SP az CCM-et a TSM-re delegálja, ami meghatározza az APSD (Application Provider Security Domain) létrehozását és az alkalmazás telepítését és perszonalizációját a TSM saját OTA platformját használja a parancsok elküldésére, de SCP02 biztonságot használ a CCM során, az SD létrehozását és az alkalmazás telepítését a saját TDS hierarchiájába az MNO felhatalmazása nélkül végezheti Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható módon A szerepek megosztása
10
c. Authorized Mode SP általi perszonalizációval A forgatókönyv az alábbi feltételezésekre épül: -
-
-
SP az alkalmazás telepítését a TSM-re delegálja, ami meghatározza az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és aktiválását a TSM saját OTA platformját használja és az MNO felhatalmazása nélkül teljes rugalmassággal hozhat létre SD-t és telepíthet alkalmazásokat a TSD hierarchiába. Mind emellett TSM-nek szüksége lehet az MNO felhatalmazására a memória quota TSD hierarchiához való hozzárendeléséhez. az SP végzi el az alkalmazás megszemélyesítését a perszonalizáló script előkészítésével és az UICC-ra küldésével a TSM OTA biztonságos útján Az APSD kulcsok az SP által kerülnek létrehozásra ill. visszavonásra egy megbízható módon A szerepek megosztása
11
Felhasznált források http://www.novacard.ru/en/actual/?id=600 http://windancersth.wordpress.com/2013/08/23/nfc-actors-and-models-part-1/ http://www.firstdata.com/downloads/thought-leadership/fd_mobiletsm_whitepaper.pdf http://allaminyomda.blogspot.hu/2011/09/tsm-szolgaltatasok-piaci-is-robbanas.html http://www.gemalto.com/techno/inspired/nfc/tsm.html http://www.mobiltarca.com/hu/mi-az-a-mobiltarca/tanulmanyok/ http://www.sicherungssysteme.net/fileadmin/GlobalPlatform_NFC_Mobile_White_Paper.pdf http://www.nada.kth.se/utbildning/grukth/exjobb/rapportlistor/2009/rapporter09/jensen_morgan_ OCH_terve_angelica_09144.pdf
12
