Secure Domain은 또 하나의 Application이다. 다만 key등을 가지고 있어 secure message, secure channel 등 보안적인 요소를 지니고 있고 각각의 서로 다른 키를 가지고 있는 secure domain은 서로 독립적인 존재임을 보장시켜줄 수 있다.
1. Issuer Secure Domain
ISD는 무조건 존재하는 Secure Domain이다. card에는 최소 ISD 즉 한 개의 Secure Domain을 가지고 있고 Application provider 등에 따라 여러 개의 Secure Domain을 또 가질 수 있다.
ISD는 다른 Secure Domain과는 다른 특징을 가지고 있으며 SD라기보다는 Card라고 보는편이 더 맞는것 같다 기본적으로 Life cycle역시 SD가아닌 Card Life cycle을 따라간다.
- Data
ISD가 다루는 데이터는 IIN(Issuer Identification Number), CIN, Card Recognition Data 등이 존재한다.
ISD는 다른 Secure Domain과 다르게 카드 자체와 연관이 많아 Card unique number인 Card Image Number CIN 데이터를 가지고 있다.
IIN의 경우에는 off-card 에서 card를 인식하기위해 필요한 정보로 보면된다.
Card Recognition Data는 Get-Data를 통해서 얻는 카드와 통신하기 이전에 주고받느 정보를 말한다. (카드에서 지원하는 모듈, API는 뭐뭐이고 카드 버전은 뭐고 이런것들)
2. Secure 도메인과 Application
Secure Domain은 Application과 연관이 되어있으며 1:N의 관계를 가지게 된다. 즉 하나의 Secure Domain이 여러 개의 Application과 연결될 수 있고 이런 Application들은 서로 같은 Secure Domain의 키서비스를 공유할 수 있다.
Secure Domain은 또한 Secure Domain을 Secure Domain안에 가지고 있을 수도 있다.
Secure Domain도 역시 Application이기 때문이다. 즉 아래 그림과 같은 계층 구조로 이루어지게 된다.
ISD안에 SD1이존재하고 그 아래에 Application B가존재, Application A는 ISD에 존재한다.
위 Applicaiton들은 커맨드를 통해서 SD를 바꿀 수 있다.
1) Service
Application은 SD를 통해서 여러 보안 서비스들을 활용할 수 있는데 대표적인 서비스가 secure messaging이고 다른 하나가 application personalization이다.
먼저 secure messaging은 secure channel로하여금 메시지를 보호하는 방법이다.
secure channel은 메시지를 암호화하여 보호하고 이때 암호화를 진행하는 키는 당연히 Secure Domain이 가지고 있다.
두번 째 보안 기능은 Application personalization이다. 이 방법은 사용자가 Store Data를 진행할 때 SD에 access-control를 진행하고 정상적으로 허가된 호스트에 따라서 데이터를 application에 저장한다.
Secure Domain에서는 암호학서비스 즉 key service를 지원하는데
지원가능한 key정보 등은 GET-DATA command를 통해서 미리 확인할 수 있다.
또한 Secure Domain에서는 가지고 있는 key정보를 사용할 수 있는 주체를 관리하는 Access control Rule이 존재하고 Rule에 따라서 Secure Domain소유주만 아니면 연관된 Application까지 접근을 가능하도록 설정한다.
다만 이러한 서비스들은 Card가 Lock이되거나 종료되면 사용할 수 없다.
2) Data
보통의 Secure Domain은 다음 SIN(Secure Domain Provider Identification Number), Secure Domain Image Number, Secure Domain Management Data 등이 존재한다.
먼저 SIN은 off-card에서 Application Provider를 인지하고 접근하기위해 사용하는 정보이고
Secure Domain Image Number는 Secure Domain별로 존재하는 unique한 값이다.
Secure Domain Management의 경우에는 Secure Domain과 통신하기위해 사전에 주고받는 지원가능한 암호모듈, API, 버전등에 대한 정보를 말한다.
- ref
'SE > GP' 카테고리의 다른 글
[GlobalPlatform] SCP-11 (0) | 2023.03.04 |
---|---|
[GlobalPlatform] Secure Channel (0) | 2023.02.18 |
[GlobalPlatform] Card management (0) | 2023.02.11 |
[GlobalPlatform] Card Spec - (1) (0) | 2023.01.15 |