你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
工作流
Microsoft Azure 证明接收来自 enclave 的证据,并根据 Azure 安全基准和可配置策略评估证据。 成功验证后,Azure 证明会生成证明令牌来确认 enclave 的可信度。
Azure 证明工作流涉及以下参与者:
- 信赖方:此组件依赖 Azure 证明来验证 enclave 有效性。
- 客户端:此组件从 enclave 收集信息并将请求发送到 Azure 证明。
- Azure 证明:此组件接受来自客户端的 enclave 证据,对其进行验证,然后将证明令牌返回给客户端
Intel® Software Guard Extensions (SGX) enclave 验证工作流
下面是典型的 SGX enclave 证明工作流的一般步骤(使用 Azure 证明):
- 客户端从 enclave 收集证据。 证据是有关 enclave 环境和在 enclave 内运行的客户端库的信息
- 客户端有一个引用 Azure 证明实例的 URI。 客户端将证据发送到 Azure 证明。 提交给提供程序的确切信息取决于 enclave 类型
- Azure 证明对提交的信息进行验证,并根据配置的策略对其进行评估。 如果验证成功,Azure 证明会颁发证明令牌并将其返回给客户端。 如果此步骤失败,Azure 证明会向客户端报告一个错误
- 客户端会将证明令牌发送给信赖方。 信赖方将调用 Azure 证明的公钥元数据终结点来检索签名证书。 然后验证证明令牌的签名,并确保 enclave 可信
注意
在 2018-09-01-preview API 版本中发送证明请求时,客户端需要将证据连同 Microsoft Entra 访问令牌一起发送到 Azure 证明。
受信任的平台模块 (TPM) enclave 验证工作流
下面是典型的 TPM enclave 证明工作流的一般步骤(使用 Azure 证明):
- 在设备/平台启动时,各种启动加载程序和启动服务会测量 TPM 支持的事件,并将其安全地存储为 TCG 日志。 客户端从设备和 TPM Quote 收集 TCG 日志,作为证明的证据。
- 客户端会对 Microsoft Entra ID 进行身份验证并获取访问令牌。
- 客户端有一个引用 Azure 证明实例的 URI。 客户端将证据和 Microsoft Entra 访问令牌发送到 Azure 证明。 提交给提供程序的确切信息取决于平台。
- Azure 证明对提交的信息进行验证,并根据配置的策略对其进行评估。 如果验证成功,Azure 证明会颁发证明令牌并将其返回给客户端。 如果此步骤失败,Azure 证明会向客户端报告一个错误。 客户端与证明服务之间的通信由 Azure 证明 TPM 协议决定。
- 客户端随后会将证明令牌发送给信赖方。 信赖方将调用 Azure 证明的公钥元数据终结点来检索签名证书。 然后,信赖方会验证证明令牌的签名,确保平台可信。
