Authentication

در اولین راه‌اندازی دستگاه پس از بازنشانی کارخانه، همه احراز هویت‌کنندگان برای دریافت ثبت‌نام اعتبار از کاربر آماده می‌شوند. کاربر باید ابتدا یک پین، الگو یا رمز عبور را در Gatekeeper (یا Weaver، در صورت وجود) ثبت کند. این ثبت‌نام اولیه یک شناسه امن کاربر 64 بیتی (SID) به‌طور تصادفی ایجاد می‌کند که به عنوان یک شناسه برای کاربر و به عنوان یک نشانه الزام‌آور برای مواد رمزنگاری کاربر عمل می‌کند. این SID کاربر از نظر رمزنگاری به رمز عبور کاربر متصل است. احراز هویت موفق Gatekeeper منجر به AuthToken هایی می شود که حاوی SID کاربر برای آن رمز عبور است.

کاربری که می خواهد اعتبار موجود را تغییر دهد باید آن اعتبار را ارائه دهد. اگر اعتبار موجود با موفقیت تأیید شود، SID کاربر مرتبط با اعتبار موجود به اعتبار جدید منتقل می‌شود و کاربر را قادر می‌سازد تا پس از تغییر اعتبار به کلیدها دسترسی داشته باشد.

در برخی شرایط، یک سرپرست دستگاه می‌تواند یک ثبت نام غیرقابل اعتماد برای ثبت یک اعتبار جدید بدون ارائه اعتبار موجود انجام دهد. این به کاربر امکان دسترسی به دستگاه را می دهد، اما کلیدهای ایجاد شده تحت SID کاربر قدیمی برای همیشه گم می شوند. احراز هویت

این بخش یک جریان احراز هویت معمولی را توصیف می کند که شامل تعاملات بین چندین مؤلفه هم در Android و هم در محیط امن است. توجه داشته باشید که همه اجزای امن یک کلید مخفی HMAC (در هر بوت) مشترک دارند که از آن برای احراز هویت پیام های یکدیگر استفاده می کنند.

پس از اینکه کاربر یک اعتبارنامه را تنظیم کرد و یک SID کاربر به او اختصاص داد، می‌تواند احراز هویت را شروع کند، که زمانی شروع می‌شود که کاربر یک پین، الگو، رمز عبور، اثر انگشت یا سایر بیومتریک‌های قوی ارائه کند.

شکل 1. جریان احراز هویت

1. یک کاربر یک روش احراز هویت را ارائه می دهد و سرویس مرتبط درخواستی را به سرویس HAL می دهد.
   • برای پین، الگو یا رمز عبور، LockSettingsService درخواستی از gatekeeperd می‌کند.
   • جریان‌های احراز هویت مبتنی بر بیومتریک به نسخه Android بستگی دارد. در دستگاه‌هایی که Android نسخه 8.x و پایین‌تر دارند، FingerprintService درخواست fingerprintd می‌کند. در دستگاه‌های دارای Android 9 و بالاتر، BiometricPrompt با استفاده از کلاس Biometric Manager مناسب، مانند FingerprintManager یا FaceManager ، از دیمون بیومتریک مناسب (به عنوان مثال، fingerprintd برای اثر انگشت یا faced برای چهره) درخواست می‌کند. صرف نظر از نسخه، احراز هویت بیومتریک به صورت ناهمزمان پس از ارسال درخواست انجام می شود.
2. سرویس HAL داده ها را به همتای خود TA می فرستد که یک AuthToken تولید می کند:
   • برای احراز هویت پین/الگو/رمز عبور، gatekeeperd پین، الگو یا هش رمز عبور را از طریق سرویس Gatekeeper HAL به Gatekeeper TA در TEE می‌فرستد. اگر احراز هویت در TEE موفقیت آمیز باشد، Gatekeeper TA یک AuthToken حاوی SID کاربر مربوطه (امضا شده با کلید HMAC مشترک) منتشر می کند.
   • برای احراز هویت اثر انگشت، fingerprintd به رویدادهای اثر انگشت گوش می‌دهد و داده‌ها را از طریق HAL اثر انگشت به Fingerprint TA در TEE ارسال می‌کند. اگر احراز هویت در TEE موفقیت آمیز باشد، اثر انگشت TA یک AuthToken (که با کلید AuthToken HMAC امضا شده است) منتشر می کند.
   • برای سایر احراز هویت بیومتریک، شبح بیومتریک مناسب به رویداد بیومتریک گوش می دهد و آن را به سرویس HAL و TA بیومتریک مناسب می فرستد.
3. دیمون یک AuthToken امضا شده دریافت می کند و آن را از طریق یک افزونه به رابط Binder سرویس keystore به سرویس keystore ارسال می کند. ( gatekeeperd همچنین هنگام قفل مجدد دستگاه و تغییر رمز دستگاه به سرویس فروشگاه کلید اطلاع می دهد.)
4. سرویس Keystore AuthTokens را به KeyMint ارسال می کند و با استفاده از کلید مشترک با Gatekeeper و مؤلفه TEE بیومتریک پشتیبانی شده، آنها را تأیید می کند. KeyMint به مهر زمانی در توکن به عنوان آخرین زمان احراز هویت اعتماد می کند و یک تصمیم آزادسازی کلید (برای اجازه دادن به برنامه برای استفاده از کلید) بر روی مهر زمانی است.

جریان احراز هویت نیازی به ارتباط مستقیم بین TAها در محیط امن ندارد: AuthTokenها از TA احراز هویت کننده به سرویس keystore2 در اندروید جریان می یابند که به نوبه خود آنها را به KeyMint TA منتقل می کند. این همچنین به سرویس keystore2 اجازه می‌دهد تا به سرعت درخواست‌هایی را که ممکن است شکست بخورند، رد کند، زیرا از AuthToken‌های موجود در سیستم آگاهی دارد و یک IPC بالقوه پرهزینه را در TEE ذخیره می‌کند.