工作流程
Microsoft Azure 證明會從記憶體保護區接收辨識項,並針對 Azure 安全性基準和可設定的原則評估辨識項。 成功驗證後,Azure 證明會產生證明權杖,以確認記憶體保護區的可信度。
下列動作專案涉及Azure 證明工作流程:
- 信賴憑證者 :依賴Azure 證明來驗證記憶體保護區有效性的元件。
- 用戶端 :從記憶體保護區收集資訊的元件,並將要求傳送至Azure 證明。
- Azure 證明:接受來自用戶端記憶體保護區辨識項的元件、驗證它,並將證明權杖傳回給用戶端
Intel® Software Guard Extensions (SGX) 記憶體保護區驗證工作流程
以下是一般 SGX 記憶體保護區證明工作流程中的一般步驟(使用 Azure 證明):
- 用戶端會從記憶體保護區收集辨識項。 辨識項是記憶體保護區環境和在記憶體保護區內執行的用戶端程式庫相關資訊
- 用戶端具有參考Azure 證明實例的 URI。 用戶端會將辨識項傳送至Azure 證明。 提交給提供者的確切資訊取決於記憶體保護區類型
- Azure 證明會驗證送出的資訊,並針對已設定的原則進行評估。 如果驗證成功,Azure 證明發出證明權杖,並將它傳回給用戶端。 如果此步驟失敗,Azure 證明向用戶端回報錯誤
- 用戶端會將證明權杖傳送給信賴憑證者。 信賴憑證者會呼叫 Azure 證明的公開金鑰中繼資料端點,以擷取簽署憑證。 信賴憑證者接著會驗證證明權杖的簽章,並確保記憶體保護區的可信度
注意
當您在 2018-09-01-preview API 版本中傳送證明要求時,用戶端必須傳送辨識項來Azure 證明以及 Microsoft Entra 存取權杖。
信賴平臺模組 (TPM) 記憶體保護區驗證工作流程
以下是一般 TPM 記憶體保護區證明工作流程中的一般步驟(使用 Azure 證明):
- 在裝置/平臺開機時,各種開機載入器和開機服務會測量 TPM 所支援的事件,並安全地將它們儲存為 TCG 記錄。 用戶端會從裝置和 TPM 引號收集 TCG 記錄,該引號會採取證明的證據。
- 用戶端會向 Microsoft Entra 識別碼進行驗證,並取得存取權杖。
- 用戶端具有 URI,其會參考Azure 證明的實例。 用戶端會將辨識項和 Microsoft Entra 存取權杖傳送至Azure 證明。 提交給提供者的確切資訊取決於平臺。
- Azure 證明會驗證送出的資訊,並針對已設定的原則進行評估。 如果驗證成功,Azure 證明發出證明權杖,並將它傳回給用戶端。 如果此步驟失敗,Azure 證明向用戶端報告錯誤。 用戶端與證明服務之間的通訊是由 Azure 證明 TPM 通訊協定所決定。
- 用戶端接著會將證明權杖傳送至信賴憑證者。 信賴憑證者會呼叫 Azure 證明的公開金鑰中繼資料端點,以擷取簽署憑證。 信賴憑證者接著會驗證證明權杖的簽章,並確保平臺的可信度。