مشاركة عبر

إصدار نهج التصديق 1.0

  • مقالة

يمكن لمالكي المثيل استخدام نهج Azure Attestation لتحديد ما يجب التحقق من صحته أثناء تدفق التصديق. تقدم هذه المقالة أعمال خدمة التصديق ومحرك النهج. كل نوع تصديق له سياسة التصديق الخاصة به. القواعد والمعالجة المدعومة هي نفسها على نطاق واسع.

إصدار النهج 1.0

الحد الأدنى لإصدار النهج الذي تدعمه الخدمة هو الإصدار 1.0.

رسم تخطيطي يظهر Azure Attestation باستخدام إصدار النهج 1.0.

تدفق خدمة التصديق كما يلي:

  • يرسل النظام الأساسي دليل التصديق في استدعاء التصديق إلى خدمة التصديق.
  • تقوم خدمة التصديق بتحليل الأدلة وإنشاء قائمة بالمطالبات المستخدمة في تقييم التصديق. يتم تصنيف هذه المطالبات منطقيا كمجموعات مطالبات واردة.
  • تستخدم سياسة التصديق التي تم تحميلها لتقييم الأدلة على القواعد التي تم تأليفها في سياسة التصديق.

يحتوي إصدار النهج 1.0 على ثلاثة مقاطع:

  • الإصدار: الإصدار هو رقم إصدار التدقيق النحوي الذي يتم اتباعه.
  • قواعد التخويل: مجموعة من قواعد المطالبة التي يتم التحقق منها أولا لتحديد ما إذا كان يجب متابعة التصديق على قواعد الإصدار. استخدم هذا القسم لتصفية المكالمات التي لا تتطلب تطبيق قواعد الإصدار. لا يمكن إصدار أي مطالبات من هذا القسم إلى رمز الاستجابة المميز. يمكن استخدام هذه القواعد لفشل التصديق.
  • قواعد الإصدار: مجموعة من قواعد المطالبة التي يتم تقييمها لإضافة معلومات إلى نتيجة التصديق كما هو محدد في السياسة. تنطبق قواعد المطالبة بالترتيب الذي يتم تعريفها به. كما أنها اختيارية. يمكن استخدام هذه القواعد لإضافة إلى مجموعة المطالبة الصادرة ورمز الاستجابة المميز. لا يمكن استخدام هذه القواعد لفشل التصديق.

يتم دعم المطالبات التالية بواسطة إصدار النهج 1.0 كجزء من المطالبات الواردة.

تصديق TPM

استخدم هذه المطالبات لتعريف قواعد التخويل في نهج إثبات الوحدة النمطية للنظام الأساسي الموثوق به (TPM):

  • aikValidated: القيمة المنطقية التي تحتوي على معلومات إذا تم التحقق من صحة شهادة مفتاح هوية التصديق (AIK) أم لا.
  • aikPubHash: السلسلة التي تحتوي على المفتاح العام base64 (SHA256) AIK بتنسيق DER.
  • tpmVersion: قيمة العدد الصحيح التي تحتوي على الإصدار الرئيسي TPM.
  • secureBootEnabled: القيمة المنطقية التي تشير إلى ما إذا كان التمهيد الآمن ممكنا.
  • iommuEnabled:القيمة المنطقية التي تشير إلى ما إذا كانت وحدة إدارة ذاكرة الإدخال والإخراج ممكنة.
  • bootDebuggingDisabled: القيمة المنطقية التي تشير إلى ما إذا تم تعطيل تصحيح أخطاء التمهيد.
  • notSafeMode: القيمة المنطقية التي تشير إلى ما إذا كان Windows لا يعمل في الوضع الآمن.
  • notWinPE: القيمة المنطقية التي تشير إلى ما إذا كان Windows لا يعمل في وضع WinPE.
  • vbsEnabled: القيمة المنطقية التي تشير إلى ما إذا كان الأمان المستند إلى الظاهرية (VBS) ممكنا.
  • vbsReportPresent: القيمة المنطقية التي تشير إلى ما إذا كان تقرير جيب VBS متوفرا.

تصديق VBS

استخدم المطالبات التالية لتعريف قواعد التخويل في نهج تصديق VBS:

  • enclaveAuthorId: قيمة السلسلة التي تحتوي على القيمة المشفرة Base64Url لمعرف كاتب الجيب. إنه معرف المؤلف للوحدة النمطية الأساسية للجيب.
  • enclaveImageId: قيمة السلسلة التي تحتوي على القيمة المشفرة Base64Url لمعرف صورة الجيب. إنه معرف الصورة للوحدة النمطية الأساسية للجيب.
  • enclaveOwnerId: قيمة السلسلة التي تحتوي على القيمة المشفرة Base64Url لمعرف مالك الجيب. إنه معرف مالك الجيب.
  • enclaveFamilyId: قيمة السلسلة التي تحتوي على القيمة المشفرة Base64Url لمعرف عائلة الجيب. إنه معرف العائلة للوحدة النمطية الأساسية للجيب.
  • enclaveSvn: قيمة العدد الصحيح التي تحتوي على رقم إصدار الأمان للوحدة النمطية الأساسية للجيب.
  • enclavePlatformSvn: قيمة العدد الصحيح التي تحتوي على رقم إصدار الأمان للنظام الأساسي الذي يستضيف الجيب.
  • enclaveFlags: مطالبة enclaveFlags هي قيمة عدد صحيح تحتوي على علامات تصف نهج وقت التشغيل للجيب.

نموذج النهج لمختلف أنواع الإثبات

نموذج النهج ل TPM:

version=1.0;

authorizationrules { 
    => permit();
};


issuancerules
{
[type=="aikValidated", value==true]&& 
[type=="secureBootEnabled", value==true] &&
[type=="bootDebuggingDisabled", value==true] && 
[type=="notSafeMode", value==true] => issue(type="PlatformAttested", value=true);
};