Autentisera azure confidential ledger-noder

Kodexempel och användare kan autentisera azure konfidentiella transaktionsregisternoder.

Kodexempel

Vid initiering hämtar kodexemplen nodcertifikatet genom att fråga identitetstjänsten. Kodexemplet hämtar nodcertifikatet innan du frågar transaktionsregistret för att hämta en offert, som sedan verifieras med hjälp av binärfilerna Värdkontroll. Om verifieringen lyckas fortsätter kodexemplet till transaktionsregisteråtgärder.

Användare

Användare kan verifiera autenticiteten hos Azures konfidentiella transaktionsregisternoder för att bekräfta att de verkligen samverkar med transaktionsregistrets enklav. Du kan skapa förtroende för azure konfidentiella transaktionsregisternoder på några sätt, som kan staplas på varandra för att öka den övergripande konfidensnivån. Därför är steg 1 och 2 viktiga mekanismer för konfidensskapande för användare av azure confidential ledger enclave som en del av den inledande TLS-handskakningen och autentiseringen i funktionella arbetsflöden. Dessutom underhålls en beständig klientanslutning mellan användarens klient och den konfidentiella transaktionsregistret.

1. Verifiera en konfidentiell transaktionsregisternod: En konfidentiell transaktionsregisternod verifieras genom att fråga identitetstjänsten som hanteras av Microsoft, som tillhandahåller ett tjänstcertifikat och därmed hjälper till att verifiera att transaktionsregisternoden presenterar ett certifikat som godkänts/signerats av tjänstcertifikatet för den specifika instansen. En välkänd certifikatutfärdare (CA) eller mellanliggande certifikatutfärdare signerar en servercertifikat med PKI-baserad HTTPS. När det gäller azure confidential ledger returneras CA-certifikatet av identitetstjänsten i form av tjänstcertifikatet. Om det här nodcertifikatet inte är signerat av det returnerade tjänstcertifikatet bör klientanslutningen misslyckas (som implementeras i exempelkoden).

2. Verifiera en konfidentiell transaktionsregisterenklav: En konfidentiell transaktionsregister körs i en Intel® SGX-enklav som representeras av en fjärrattesteringsrapport (eller offert), en datablob som genereras i enklaven. Den kan användas av andra entiteter för att verifiera att offerten har skapats från ett program som körs med Intel® SGX-skydd. Offerten innehåller anspråk som hjälper dig att identifiera olika egenskaper för enklaven och programmet som körs. I synnerhet innehåller den SHA-256-hashen för den offentliga nyckeln som finns i den konfidentiella transaktionsregisternodens certifikat. Offerten för en konfidentiell transaktionsregisternod kan hämtas genom att anropa ett funktionellt arbetsflödes-API. Det hämtade citatet kan sedan verifieras enligt stegen som beskrivs här.

Nästa steg

• Översikt över konfidentiellt transaktionsregister i Microsoft Azure
• Azure Confidential Ledger-arkitektur