تُعدّ مرحلة تسجيل الجهاز الجهاز لتخزين مستند DC من خلال تسجيل مفتاح هوية في نظام الجهة المصدرة.
مسار الطلب
وصف سير العمل
| الخطوة | المصدر | الوصف |
|---|---|---|
| 1 | جهاز يعمل بنظام التشغيل Android |
تم إنشاء طلب جديد لوحدة التحكّم في النطاق على جهاز المستخدم. يجب أن تنشئ جهة إصدار بطاقات هوية مفتاح هوية جديدًا. يتصل جهاز المستخدم برقم getDeviceRegistrationNonce لبدء هذه العملية.
|
| 2 | خوادم Google |
تنقل Google طلب getDeviceRegistrationNonce إلى جهة الإصدار.
|
| 3 | خوادم جهة الإصدار |
يُنشئ جهة الإصدار قيمة عشوائية غير متكررة ويخزّنها مع deviceReferenceId، ثم يعيدها إلى Google.
|
| 4 | خوادم Google | تنقل Google الرقم العشوائي إلى جهاز المستخدم. |
| 5 | جهاز يعمل بنظام التشغيل Android |
يوقّع جهاز المستخدم على الرقم العشوائي ويضمّنه في شهادة x509.
يتم تضمين ذلك في طلب registerDevice للتحقّق من الجهاز.
|
| 6 | خوادم Google | تنقل Google مكالمة registerDevice إلى جهة الإصدار. |
| 7 | خوادم جهة الإصدار | تُجري جهة الإصدار عمليات التحقّق من سلامة الجهاز وتخزِّن مفتاح الهوية المرتبط بالجهاز. |
كيفية التحقّق من سلامة الجهاز
شهادة صحة الجهاز هي ميزة أمان تتيح الجهات المصدرة التحقّق من سلامة الجهاز قبل تسجيله. يساعد ذلك في منع تسجيل الأجهزة التي تم التلاعب بها أو التي تشغّل برامج غير مصرَّح بها.
للتحقّق من سلامة الجهاز، على جهة الإصدار اتّباع الخطوات التالية:
- التحقّق من صحة سلسلة الشهادات المُرسَلة في طلب
/registerDeviceيجب أن تتطابق شهادة الجذر في السلسلة مع الشهادة التي تقدّمها Google. - تأكَّد من أنّ شهادة الجذر ليست جزءًا من قائمة الشهادات الباطلة.
- حلِّل شهادة العنصر الأخير واقرأ الإضافات وتحقّق مما يلي:
- تتطابق قيمة
attestationChallengeمع القيمةnonceالتي تم إرسالها أثناء عملية/getDeviceRegistrationNonce. - يتضمّن
teeEnforced.rootOfTrustالخصائص التالية:deviceLocked=TRUEverifiedBootState=VERIFIED
- تتطابق أسماء الحِزم في
softwareEnforced.attestationApplicationIdمعcom.google.android.gmsأوcom.google.android.gsf.
- تتطابق قيمة
شرح الأجزاء المختلفة من عملية إثبات صحة الجهاز
- سلسلة الشهادات: سلسلة الشهادات هي مجموعة من الشهادات التي تصادق على هوية الجهاز. شهادة الجذر في السلسلة هي الشهادة الأكثر موثوقية، ويتم توقيع كل شهادة لاحقة في السلسلة من خلال الشهادة التي تسبقها.
- قائمة الشهادات الباطلة: قائمة الشهادات الباطلة (CRL) هي قائمة بالشهادات التي تم إبطالها لسبب ما. إذا كانت شهادة الجذر في سلسلة شهادات إثبات صحة الجهاز مدرَجة في قائمة إبطال الشهادات، تكون الشهادة غير صالحة ولا يمكن الوثوق بشهادة إثبات صحة الجهاز.
- شهادة غير مخوّلة للتصديق: هي الشهادة الخاصة بالجهاز. ويحتوي على معلومات حول الجهاز، مثل معرّفات الأجهزة وإصدار البرنامج.
- الإضافات: الإضافات هي معلومات إضافية مضمّنة في الشهادة. تحتوي شهادة إثبات صحة الجهاز على عدد من الإضافات المستخدَمة للتحقّق من سلامة الجهاز. لمزيد من المعلومات، يُرجى الرجوع إلى مخطط بيانات إضافة الشهادة.