Az elektronikus azonosítás biztonsági megoldásai. Kártyatartalom menedzsment TSM rendszerekben

Hasonló dokumentumok
Near Field Communication (NFC)

ÚTMUTATÓ AZ ÜZLETI INTERNETKAPCSOLATRÓL

Innovatív eszközök, kártyarendszerek, megoldások

Az OpenScape Business rendszerek egységes architektúrára épülnek: Rugalmas, skálázható és megbízható

Dr. Al-Absi Gáber Seif. Digitális payment stratégia a HoReCa szektorban

OZEKI Phone System. A jövő vállalati telefon rendszerének 4 alappillére. A jövő üzleti telefon rendszere SMS. Mobil mellékek. Összhang az IT-vel

OZEKI Phone System. 4 elengedhetetlen szolgáltatás a jövőbeli vállalati telefonos rendszerek számára. A jövő üzleti telefon rendszere SMS

======!" ==Systems= Hitelesség az üzleti életben Budapest március 30.

20 éve az informatikában

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

Dr. Al-Absi Gáber Seif. Az e-kereskedelem forradalma

Az Internet jövője Internet of Things

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Versenyelőnyszerzés az intelligens megoldások korában. Rehus Péter, SWG CEE, IS brand igazgató November 5.

BYOD. Bring Your Own Device

EPC e-payment Task Force tag MSE e-fizetések munkacsoport vezetı

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

Az NFC-technológia mindennapi életben való alkalmazásának vonzó lehetőségei

VIRTUALIZÁCIÓS TECHNOLÓGIÁK EUCALYPTUS CLOUD PLATFORM

2. előadás. Radio Frequency IDentification (RFID)

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Bartimex Kft. Cégbemutató

Eszköz és karbantartás management

Fejlesztés, működtetés, felügyelet Hatékony infrastruktúra IBM szoftverekkel

A cloud szolgáltatási modell a közigazgatásban

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

Szolgáltatás Orientált Architektúra a MAVIR-nál

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

Microsoft SQL Server telepítése

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Vállalati mobilitás. Jellemzők és trendek

Elektronikus fizetés. (mobil. és Internet)

ELEKTRONIKUS DOKUMENTUMTÁROLÁSI SZOLGÁLTATÁS (EDT)

2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások)

Információ menedzsment

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. Pénztár v aláíró alkalmazás

vbar (Vemsoft banki BAR rendszer)

Szolgáltatási szint megállapodás. Verzió: 1.0. (2010. december 13.)

KÖZPONTI OKOSHÁLÓZATI MINTAPROJEKT

Szoftver-technológia II. Szoftver újrafelhasználás. (Software reuse) Irodalom

A CityPass rendszer Magyar Gazdaságfejlesztési Központ Nemzeti Innovációs Hivatal NetLock Kft. intelligens kártyán alapul

Bevezetés. Adatvédelmi célok

Azonnali fizetési rendszer megvalósítása

MELLÉKLET. a következőhöz:

Worldwide LHC Computing Grid

30 MB INFORMATIKAI PROJEKTELLENŐR

Szoftver újrafelhasználás

Infor PM10 Üzleti intelligencia megoldás

Cloud Akkreditációs Szolgáltatás indítása CLAKK projekt. Kozlovszky Miklós, Németh Zsolt, Lovas Róbert 9. LPDS MTA SZTAKI Tudományos nap

EPC e-payment Task Force tag MSE e-fizetések munkacsoport vezetı

IKT megoldások az ipar szolgálatában

Adatvédelmi és adatfeldolgozási megállapodás

Integrációs mellékhatások és gyógymódok a felhőben. Géczy Viktor Üzletfejlesztési igazgató

A pénzforgalmi szolgáltatás nyújtásáról szóló évi LXXXV. törvényre. Ellenőrzés tárgya:

BMEVIHIM134 Hálózati architektúrák NGN menedzsment vonatkozások: II. Üzemeltetés-támogatás és üzemeltetési folyamatok

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

SEPA fizetésekhez. Prágay István

A mobilitás biztonsági kihívásai


E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

MTA Cloud Use cases MTA Cloud workshop. Hernáth Szabolcs MTA WIGNER FK

Globális trendek lokális stratégiák. Kovács András

ALKALMAZÁS KERETRENDSZER

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

CMTERMINAL SZÉP KÁRTYA ELFOGADÁS ANDROIDOS TELEFONON: OLCSÓ, RUGALMAS, MEGBÍZHATÓ

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Adatvédelmi és adatfeldolgozási megállapodás

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Érjen célba minden üzenete!

AGSMHÁLÓZATA TOVÁBBFEJLESZTÉSE A NAGYOBB

Papír helyett elektronikus űrlap. Szabadság és interaktivitás az űrlapkezelésben

Informatikai kommunikációs technikák a beszállító iparban

Bankkártya elfogadás a kereskedelmi POS terminálokon

VEZETÉKNÉLKÜLI KAPCSOLATTAL A FELHASZNÁLÁSHOZ SZÜKSÉGES TELJESÍTMÉNYRE SZABHATJA GÉPÉT

ASP 2.0. Tájékoztató PROJEKT Bevezetés tervezett határideje

CROCODILE 2.0_HU projekt

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Protection Service for Business. Az első lépések Android-készülékeken

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

A konvergencia következményei. IKT trendek. Új generációs hálózatok. Bakonyi Péter c.docens. Konvergencia. Új generációs hálózatok( NGN )

Vezetői információs rendszerek

Crossplatform mobil fejlesztőkörnyezet kiválasztását támogató kutatás

ÁNYK űrlap benyújtás támogatási szolgáltatás

TANÚSÍTVÁNY. tanúsítja, hogy a. MÁV INFORMATIKA Kft. által kifejlesztett és forgalmazott. DSign UI 1.6. aláíró alkalmazás

Személyügyi nyilvántartás szoftver

Szolgáltatási szint megállapodás

TANÚSÍTVÁNY TELEPÍTÉSE THUNDERBIRD LEVELEZŐ KLIENSBEN WINDOWS VISTÁN. Tartalom jegyzék

Autóipari beágyazott rendszerek. Komponens és rendszer integráció

Praesideo digitális épületés vészhangosító rendszer Érjen célba minden üzenete

Szolgáltatások. Szolgáltatások1990-ben. Szolgáltatások 2011-ben. Hagyományos* Hagyományos* Fapados** VIP VIP. Ár tartalmazza. Ár nem tartalmazza

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

A J2EE fejlesztési si platform (application. model) 1.4 platform. Ficsor Lajos Általános Informatikai Tanszék Miskolci Egyetem

ÁNYK űrlap benyújtás támogatási szolgáltatás

Antenna Hungária Jövőbe mutató WiFi megoldások

Internet of Things 2

Átírás:

Az elektronikus azonosítás biztonsági megoldásai Kártyatartalom menedzsment TSM rendszerekben Készítette Sári Zoltán Óbudai Egyetem Neumann János Informatikai Kar 2013. november 1

1. A TSM-ek jelentősége az NFC ökoszisztémában Az NFC technológia kiemelkedő üzleti lehetőséget kínál a mobilalkalmazásokon keresztül nyújtható szolgáltatások lebonyolítására. Az NFC-képes mobileszközöket a végfelhasználók számtalan célra használhatják (például fizetés, jegyvásárlás, loyalty programok) és a használat elterjedése dinamikusan növekszik. Az NFC szolgáltatásokban rejlő lehetőségek kiaknázása érdekében az NFC ökoszisztéma több szereplő (aktor) együttműködését és kompetenciáik kombinálását feltételezi. Az NFC ökoszisztéma főbb szereplői Az NFC ökoszisztéma főbb résztvevői (amennyiben a SE-et az UICC tartalmazza): - SP: szolgáltatást nyújt a ügyfelei számára, amelynek feltétele az alkalmazásuk implementálása az UICC kártyára (bankok, közlekedési vállalatok, kereskedők, stb) - MNO: UICC és a legtöbb esetben egy OTA platform tulajdonosa (egyben SEI) - TSM: az SP és az MNO közötti kapcsolat technikai feltételeinek biztosítója, lehetővé teszi o MNO és az SP kölcsönös üzenetváltását biztonságos csatornán keresztül o az SP által nyújtott NFC szolgáltatás menedzselését (SP megbízásából) o egykapus kapcsolattartás lehetőségének biztosítását a végfelhasználókkal Az NFC rendszerek megkövetelik a különböző üzleti környezetben működő résztvevők integrálását egy alkalmazási környezetbe. Az SP-k és az MNO-k közötti együttműködési nehézségek az egyik legnagyobb akadályát jelentik az NFC szolgáltatások terjedésének. Természetszerűleg az SP-eknek nem áll érdekükben egyetlen MNO felé elköteleződni és az MNO-k is törekednek minél több SP-vel együttműködni. Mindezek a kapcsolatok komplexitásához vezetnek. A gyakorlatban a kapcsolatok komplexitásának redukálása és a résztvevők integrálása a TSM-eken keresztül valósul meg. 2

A TSM-ek jelentősége az NFC ökoszisztéma résztvevőinek integrálásában Az érintés nélküli tranzakciók teljesítése, az adatok letöltése és egy NFC képes mobileszközön való tárolása során az érzékeny alkalmazások számára állandó biztonság és bizalmasság szükséges. Az NFC szolgáltatásokat nyújtó SP-ek és az MNO-k között egy olyan technikai összeköttetést szükséges kiépíteni, amely megfelel e követelményeknek. Az SP és az MNO-k közötti együttműködésért és az egész NFC ökoszisztéma biztonságáért a TSM felel. Az üzleti racionalitás megköveteli a kiépítendő együttműködés partnereinek megbízhatóságát és egy harmadik, független fél bevonását igényli a megbízható szolgáltatás (a kulcs és tanúsítvány) menedzsmentbe. A TSM mediátori szerepet tölt be, aki üzleti szabványokat (governance szerepkör) és technikai kommunikációkat alakít ki az MNO, SP és más résztvevők között 1 (operációs szerepkör). A TSM főbb funkciók - MNO és az SE közötti kommunikáció támogatása - a biztonságos adatcsere biztosítása - az érintésnélküli alkalmazások menedzselése az életciklus alatt - új felhasználók regisztrálása (Security Domain létrehozása, érintés nélküli alkalmazások telepítése és megszemélyesítése OTA-n) - szolgáltatások aktiválása, deaktiválása - felhasználói interfész karbantartása - NFC ügyfelek adatbázis menedzsmentje A TSM szerepe nemcsak a tranzakciók biztosítására korlátozódik, hanem magában foglalja az mobileszközökön futó alkalmazások életciklus menedzsmentjét és bizonyos esetekben az SE menedzsmentjét is. 1 A szabványok biztosítják az interoperabilitást több szinten: - üzleti adatok, jellemzők: egységes nyelvezet megteremtése (felhasználási feltételek, egyértelmű szabályok) - üzleti folyamatok: szerepek és felelősségek meghatározása (funkciók átfogó listája) - adatcsere: adatszerkezet (XML) 3

2. Kártyatartalom menedzsment TSM-ek bevonásával, UICC kártyán Az NFC infrastruktúrára épülő üzleti modellekben a mobiltelefonok biztonságot és bizalmasságot biztosító komponense a Secure Element (SE). Az NFC mobilokban található SEk három tipikus elhelyezkedése az alábbi ábrán látható. A Secure Element elhelyezésének lehetőségei A UICC kártyán lévő alkalmazások előnye a kártya felhasználóhoz kapcsolásának egyértelműsége, ezzel a rendszerhez magas biztonság társítható. (További előnyöket jelent a hordozhatóság, a távoli elérés, globális elterjedtség, stb) A rendszer menedzselése OTA (over the air) alkalmazási platformot igényel, így az MNO kulcs szerepet játszik azzal, hogy infrastruktúráját a menedzselés OTA platformjaként biztosítja. Kizárólag a SE tulajdonosa (SEI) számára állnak rendelkezésre az SE memóriájában tárolt információk eléréséhez szükséges kulcsok. NFC rendszerekben az SE általában az MNO tulajdonában álló UICC kártyán helyezkedik el, ezáltal az MNO-nak lehetősége van partnerei (TSM, SP) számára az UICC elérhetőséget a számára megfelelő üzleti modell és megszemélyesítési jellemzők megválasztása mellett biztosítani. A kártyatartalom menedzselése során a TSM felel mindazért, hogy a kibocsátás -beleértve a feltöltést, megszemélyesítést valamint életciklus menedzsmentet - biztonságos és szabványos jöhessen létre és bármilyen mobil készüléken, kompatibilis biztonsági elemmel (SE) és bármely GSM szolgáltató hálózatán működjön. A megbízható CCM az alábbi standard mechanizmusokat biztosítja: - a Security Domain kezdeti kulcskészletének bizalmas töltése - az alkalmazás kód bizalmas töltése - az APDU parancsok bizalmas küldése a Security Domain-ra - az alkalmazás perszonalizációja és a tartalom kezelése A TSM-ek szerepvállalása a kártyatartalom-menedzsment terén, lehetővé tette az MNO-k számára, hogy alaptevékenységükre fókuszálhassanak és ne az alkalmazások és az adatok 4

kezelésének kérdéseire. A kártyatartalom menedzselésére három fő koncepció alakult ki a különböző üzleti modellekben: - simple mode: a kártyatartalmat kizárólag az MNO menedzseli, de a műveleteket a TSM nyomon követi (kártyakibocsátó centrikus modell): TSM kéri az SEP-t, hogy végezze el a CCM műveletet, aki ezután visszatér a végrehajtás eredményével - delegated mode: a kártyatartalom menedzselése delegálható a TSM-hez, de minden művelethez az MNO engedélye szükséges - authorized (dual) mode: a TSM teljes felhatalmazást kap a kártyatartalom menedzselésére és a szereplők teljesen függetlenek a műveletek végrehajtásában (SE egy adott területen a TSM önállóan végezhet CCM műveleteket, a SEP pedig szintén önálló marad a saját SE területen) A kártyatartalom menedzsment (CCM) módok 3. Simple mód Simple módban a CCM az MNO hatásköre, csak az MNO képes alkalmazást tölteni az UICCra. Az SP tárterületet bérel az MNO-tól, amelyre telepíteni kívánja az NFC alkalmazását. Mivel az SP nem képes az alkalmazás telepítésére és konfigurálására, ezért megbíz egy (SDM szerepet játszó) TSM-et az MNO-val való kommunikálásra. Az SP felkéri a TSM-et az APDU (Application Protocol Data Unit) parancskészlet létrehozására és azok MNO TSM-éhez történő továbbítására, így az MNO telepíti az SP alkalmazását az UICC-ra. Két szcenárió különböztethető meg attól függően, hogy a TSM saját OTA platformon végzi el az alkalmazás megszemélyesítését vagy sem. 5

a. Simple mode MNO OTA platformján - SP a teljes alkalmazás menedzsmentet a TSM-re delegálta, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását és az alkalmazás telepítését és megszemélyesítését - TSM az MNO OTA platformját használja mind az APSD létrehozására, mind az alkalmazásmenedzsmentre - Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható A szerepek megosztása b. Simple mód az MNO és a TSM OTA platformján - SP a teljes alkalmazásmenedzsmentet a TSM-re delegálja - TSM az MNO OTA platformját használja az APSD létrehozására, de a sajátját a megszemélyesítésre - Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható 6

A szerepek megosztása 4. Delegated mód A delegált szolgáltatás menedzsment a delegated mode-ot támogató kártyák köré szerveződik. Az MNO nem tartozik felelősséggel az alkalmazás telepítéséért, aktiválásáért és eltávolításáért. A CCM a TSM által megvalósított, az MNO előzetes felhatalmazása mellett. A delegated módban az SDM szerep megosztásra kerül: az MNO generálja a Tokent a művelethez, míg a CCM parancsok kiadásában és a globális szolgáltatásmenedzsmentben a TSM játssza az SDM-et. A legtöbb esetben a bizalmasság miatt az SP önmaga menedzseli az alkalmazás perszonalizációját, megvédve ezzel az ügyfeleit érintő alkalmazás kulcsokat és adatokat a harmadik fél által történő manipuláció lehetőségétől. Két szcenárió különböztethető meg attól függően, hogy a SP delegálja az alkalmazás perszonalizációt a TSM-re vagy sem. a. Delegated mode teljes TSM felhatalmazással - SP a teljes alkalmazás menedzsmentet a TSM-re delegálta, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és megszemélyesítését - A TSM saját OTA platformját használja, de a tokent az MNO küldi el TSM számára a CCM akció előzetes felhatalmazása érdekében - az alkalmazás zárolásához és feloldásához, valamint a perszonalizációhoz DM token nem szükséges 7

- Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható A szerepek megosztása Különböző esetek lehetségesek a TSM számára az UICC-on lévő alkalmazások kezelésére: - SP alkalmazás közvetlenül feltölthető a TSM SD alá - egy dedikált APSD rendelhető az alkalmazáshoz, a jövőben a TSM felkérhető az SP által az alkalmazás zökkenőmentes átadására másik TSM-hez, ekkor a korábbi TSMnek át kell adnia az APSD-t és tartalmát az új TSM részére b. Delegated mode az SP általi perszonalizációval - SP az alkalmazás telepítését a TSM-re delegálja, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és aktiválását - a TSM saját OTA platformját használja, de a tokent az MNO küldi el TSM számára a CCM akció előzetes felhatalmazása érdekében - DM token nem szükséges az alkalmazás zárolásához és feloldásához, valamint a perszonalizációhoz - az SP végzi el az alkalmazás megszemélyesítését a perszonalizáló script előkészítésével és az UICC-ra küldésével a TSM OTA biztonságos útján - Az APSD kulcsok az SP által kerülnek létrehozásra ill. visszavonásra egy megbízható 8

A szerepek megosztása 5. Dual (authorized) mód A felhatalmazott szolgáltatás menedzsment az authorized mode-ot támogató kártyák körül szerveződik. Az SP alkalmazását kezelő TSM képes a folyamatot közvetlen, MNO által nyújtott felhatalmazás nélkül elvégezni. Ez a mód használható a TSM részére a saját SD hierarchiája menedzselésének engedélyezésére és a CCM lebonyolítására az MNO felhatalmazása nélkül. Három szcenárió különböztethető meg attól függően, hogy a SP delegálja az alkalmazás perszonalizciót a TSM-re vagy sem. a. Authorized Mode a TSM teljes felhatalmazásával - SP az CCM-et a TSM-re delegálja, ami magában foglalja az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és perszonalizációját - a TSM saját OTA platformját használja és az MNO felhatalmazása nélkül teljes rugalmassággal hozhat létre SD-t és telepíthet alkalmazásokat a TSD hierarchiába. Mind emellett TSM-nek szüksége lehet az MNO felhatalmazására a memória terület TSD hierarchiához való hozzárendeléséhez. - Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható 9

A szerepek megosztása b. Authorized Mode SCP02-re építve - SP az CCM-et a TSM-re delegálja, ami meghatározza az APSD (Application Provider Security Domain) létrehozását és az alkalmazás telepítését és perszonalizációját - a TSM saját OTA platformját használja a parancsok elküldésére, de SCP02 biztonságot használ a CCM során, az SD létrehozását és az alkalmazás telepítését a saját TDS hierarchiájába az MNO felhatalmazása nélkül végezheti - Az APSD kulcsok a TSM által kerülnek létrehozásra ill. visszavonásra egy megbízható A szerepek megosztása 10

c. Authorized Mode SP általi perszonalizációval - SP az alkalmazás telepítését a TSM-re delegálja, ami meghatározza az APSD (Application Provider Security Domain) létrehozását, az alkalmazás telepítését és aktiválását - a TSM saját OTA platformját használja és az MNO felhatalmazása nélkül teljes rugalmassággal hozhat létre SD-t és telepíthet alkalmazásokat a TSD hierarchiába. Mind emellett TSM-nek szüksége lehet az MNO felhatalmazására a memória quota TSD hierarchiához való hozzárendeléséhez. - az SP végzi el az alkalmazás megszemélyesítését a perszonalizáló script előkészítésével és az UICC-ra küldésével a TSM OTA biztonságos útján - Az APSD kulcsok az SP által kerülnek létrehozásra ill. visszavonásra egy megbízható A szerepek megosztása 11

Felhasznált források http://www.novacard.ru/en/actual/?id=600 http://windancersth.wordpress.com/2013/08/23/nfc-actors-and-models-part-1/ http://www.firstdata.com/downloads/thought-leadership/fd_mobiletsm_whitepaper.pdf http://allaminyomda.blogspot.hu/2011/09/tsm-szolgaltatasok-piaci-is-robbanas.html http://www.gemalto.com/techno/inspired/nfc/tsm.html http://www.mobiltarca.com/hu/mi-az-a-mobiltarca/tanulmanyok/ http://www.sicherungssysteme.net/fileadmin/globalplatform_nfc_mobile_white_paper.pdf http://www.nada.kth.se/utbildning/grukth/exjobb/rapportlistor/2009/rapporter09/jensen_morgan_ OCH_terve_angelica_09144.pdf 12

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés