通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Intel® 信任域扩展 (TDX) 的 Azure 证明 EAT 配置文件

  • 项目

此配置文件概述了 Azure 证明作为实体证明令牌 (EAT) 生成的 Intel® 信任域扩展 (TDX) 证明结果的声明。

该配置文件包含来自 IETF JWT 规范、EAT 规范、Intel 的 TDX 规范和 Microsoft 特定声明的声明。

JWT 声明

JWT 规范中提供了以下声明的完整定义。

iat -“iat”(颁发时间)声明指定颁发 JWT 的时间。

exp-“exp”(过期时间)声明指定哪个时间或之后不得接受 JWT 以进行处理。

iss -“iss”(证书颁发者)声明指定颁发 JWT 的主体。

jti -“jti”(JWT ID) 声明为 JWT 提供唯一标识符。

nbf -“nbf”(不早于)声明指定不得在哪个时间之前接受 JWT 以进行处理。

EAT 声明

EAT 规范中提供了以下声明的完整定义。

eat_profile -“eat_profile”声明通过 URL 或 OID 标识 EAT 配置文件。

dbgstat -“dbgstat”声明适用于实体的实体范围或子模块范围的调试设施,例如 [JTAG] 和内置于芯片中的诊断硬件。

intuse -“intuse”声明向 EAT 使用者提供有关令牌预期用途的指示。

TDX 声明

有关声明的完整定义,请参阅 Intel® TDX DCAP 引用库 API 规范的 A.3.2 TD 引用正文部分。

tdx_mrsignerseam - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含 TDX 模块签名者的度量。

tdx_mrseam - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含 Intel TDX 模块的度量。

tdx_mrtd - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含 TDX 的初始内容的度量。

tdx_rtmr0 - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含运行时可扩展度量寄存器。

tdx_rtmr1 - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含运行时可扩展度量寄存器。

tdx_rtmr2 - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含运行时可扩展度量寄存器。

tdx_rtmr3 - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含运行时可扩展度量寄存器。

tdx_mrconfigid - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含 TDX 的非所有者定义配置的软件定义 ID,例如运行时或操作系统 (OS) 配置。

tdx_mrowner - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含 TDX 所有者的软件定义 ID。

tdx_mrownerconfig - 一个 96 个字符的十六进制字符串,表示长度为 48 的字节数组,其中包含 TDX 所有者定义配置的软件定义 ID,例如特定于工作负载,而不是运行时或 OS。

tdx_report_data - 一个 128 个字符的十六进制字符串,表示长度为 64 的字节数组。 在此上下文中,TDX 可以灵活地在 TDX 报表中包含 64 字节的自定义数据。 例如,此空间可用于保存 nonce、公钥或较大数据块的哈希。

tdx_seam_attributes - 一个 16 个字符的十六进制字符串,表示长度为 8 的字节数组,其中包含 TDX 模块的其他配置。

tdx_tee_tcb_svn - 一个 32 个字符的十六进制字符串,表示一个长度为 16 的字节数组,描述 TDX 的受信任计算基础 (TCB) 安全版本号 (SVN)。

tdx_xfam - 一个 16 个字符的十六进制字符串,表示长度为 8 的字节数组,其中包含允许 TDX 使用的 CPU 扩展功能的掩码。

tdx_seamsvn - 表示 Intel TDX 模块 SVN 的数字。 有关声明的完整定义,请参阅 Intel® TDX 加载程序接口规范的第 3.1 节 SEAM_SIGSTRUCT: INTEL® TDX 模块签名结构

tdx_td_attributes - 一个 16 个字符十六进制字符串,表示长度为 8 的字节数组。 这些是与信任域 (TD) 关联的属性。 下面提到的声明的完整定义可在 A.3.4 节中找到。 Intel® TDX DCAP 引用库 API 规范的 TD 属性。

tdx_td_attributes_debug - 一个布尔值,该值指示 TD 是否在 TD 调试模式下运行,“是”设置为 1,“否”设置为 0。 在 TD 调试模式下,主机 VMM 可以访问 CPU 状态和私有内存。

tdx_td_attributes_key_locker - 一个布尔值,指示是否允许 TD 使用 Key Locker。

tdx_td_attributes_perfmon - 一个布尔值,指示是否允许 TD 使用 Perfmon 和 PERF_METRICS 功能。

tdx_td_attributes_protection_keys - 一个布尔值,指示是否允许 TD 使用监督器保护密钥。

tdx_td_attributes_septve_disable - 一个布尔值,用于确定是否在 PENDING 页面的 TD 访问上禁用 EPT 违规转换为 #VE。

证明者声明

attester_tcb_status - 一个字符串值,表示要评估的平台的 TCB 级别状态。 请参阅 Intel® 受信任服务 API 管理开发人员门户中的 tcbStatus。

特定于 Microsoft 的声明

x-ms-attestation-type - 一个字符串值,表示证明类型。

x-ms-policy-hash - Azure 证明计算策略的哈希,计算结果为 BASE64URL(SHA256(UTF8(BASE64URL(UTF8(policy text)))))。

x-ms-runtime - JSON 对象,包含的“声明”是在已证明的环境中定义和生成的。 这是“enclave 保留数据”概念的专用化,其中“enclave 保留数据”专门格式化为格式良好的 JSON 的 UTF-8 编码。

x-ms-ver - JWT 架构版本(应为“1.0”)