远程鉴证
这项高级功能使一个硬件实体或硬件与软件的组合能够获取远程提供商或生产商的信任。
远程鉴证允许远程提供商(也称为依赖方)增强对软件运行的信心:
- 在围圈内
- 在具有最新安全级别的完全更新的英特尔® Software Guard Extension(英特尔® SGX)系统上(也称为可信计算基础 [TCB] 版本)
鉴证结果提供:
- 被鉴证软件的身份
- 未测量状态(例如执行模式)的详细信息
- 评估可能的软件篡改
在围圈成功地向依赖方鉴证自身之后,可在二者之间建立加密的通信信道。可以将身份凭证等机密或其他敏感数据直接供给到围圈。
英特尔 SGX 目前支持两种类型的远程鉴证:
- 使用英特尔® Enhanced Privacy ID(英特尔® EPID)的英特尔 SGX 鉴证服务,用于远程鉴证。
- 保护隐私
- 基于英特尔 EPID 签名
- 在工作负荷运行时供给和鉴证
- 一种使用第三方鉴证的基于椭圆曲线数字签名算法 (ECDSA) 的远程鉴证,该第三方鉴证的利用英特尔® Software Guard Extensions Data Center Attestation Primitives(英特尔® SGX DCAP)
- 专为数据中心和云服务提供商设计
- 基于 ECDSA 证书的灵活供给
- 允许构建设施内鉴证服务
- 要求在支持的英特尔® 平台上灵活的启动控制
- 在开源许可模型下提供
基于英特尔® EPID 的远程鉴证
此技术使依赖方能够鉴证围圈而不需了解围圈在其上执行的特定英特尔® 处理器。使用这项技术要求一个平台,并且依赖方需要有互联网接入。要了解更多信息,请参阅英特尔 EPID 安全性技术。
在线鉴证服务由英特尔创建和管理,以:
- 最大限度地降低使用英特尔 SGX 可信计算基础 (TCB) 的平台处理多个安全性版本的复杂性
- 提供隐私属性
立即行动
- 要在应用程序中实现远程鉴证服务,请参阅:
- 请求访问开发 (DEV) 鉴证服务门户。
- 完成商业许可证。
注意:此要求适用于访问生产 (LIV) 鉴证服务并以生产模式运行围圈。
基于英特尔® SGX DCAP 的鉴证
基于 ECDSA 的鉴证允许提供商构建并交付自己的鉴证服务,而不使用英特尔提供的远程鉴证服务。这对于需要满足以下任何要求的企业、数据中心和云服务提供商有用:
- 在无法访问基于互联网的服务的环境中运行大部分网络
- 在内部保持鉴证决策
- 交付以非常分布式方式工作的应用程序(例如,对等网络),这些应用程序从不依赖单点验证中受益
- 防止不允许的平台匿名
与基于英特尔 EPID 的鉴证解决方案相比,英特尔 SGX DCAP 要求更多由提供商管理的基础设施,并帮助提供商创建此类基础设施。要了解更多信息,请参阅图 2。
面向 ECDSA 鉴证的供给证书服务 (PCS)
PCS 包括一组可公开访问的 API,这些 API 允许鉴证服务提供商检索以下组件:
- 供给证书
- 撤销列表
- 可信计算基础信息
这些组件然后用于提供商的远程鉴证基础设施以鉴证其围圈。要了解更多信息(包括订购链接),请参阅鉴证服务。