阿里云签发的JSON Web Token(JWT)配置文件概述了阿里云远程证明服务为各类TEE环境生成实体证明令牌 (EAT) 形式的证明结果中所包含的声明。该配置文件包含来自IETF JWT规范、EAT规范、不同TEE平台规范和阿里云特定的声明。
JWT声明
JWT规范中提供了以下声明的完整定义。
iat:指定颁发JWT的时间。
exp:指定JWT的过期时间。
iss:指定颁发JWT的主体。
jti:JWT的唯一标识符。
nbf:指定JWT的生效时间。
aud:指定接受该JWT的实体或服务。
EAT声明
EAT规范中提供了以下声明的完整定义。
eat_profile :通过URL标识的EAT配置文件。
intuse:向EAT使用者表明的令牌预期用途。
TEE 声明
tcb-status:以JSON字符串形式表明的TEE声明集,会根据不同的TEE平台类型包含不同类别的具体声明。
TDX声明
当TEE平台为Intel TDX时的相关TEE声明。
tdx.quote.header.version:TDX Quote的格式版本。
tdx.quote.header.att_key_type:TDX Quote签名中的算法类型。
tdx.quote.header.tee_type:TDX Quote的TEE类型。
tdx.quote.header.reserved:保留字段。
tdx.quote.header.vendor_id:QE(Quote Enclave)提供商的ID。
tdx.quote.header.user_data:用户数据。
tdx.quote.body.mr_config_id:TDX的非所有者定义配置的软件定义ID。
tdx.quote.body.mr_owner:TDX所有者的软件定义ID。
tdx.quote.body.mr_owner_config:TDX所有者定义配置的软件定义ID。
tdx.quote.body.mr_td:TDX的初始度量内容。
tdx.quote.body.mr_seam:TDX模块的度量值。
tdx.quote.body.mrsigner_seam:TDX模块签名者的度量值。
tdx.quote.body.report_data:TDX Quote中的用户自定义数据。
tdx.quote.body.seam_attributes:TDX模块的其他配置。
tdx.quote.body.tcb_svn:TDX可信计算基的安全版本号。
tdx.quote.body.xfam:允许TDX使用的CPU扩展功能的掩码。
tdx.quote.body.rtmr_0:运行时的度量寄存器0。
tdx.quote.body.rtmr_1:运行时的度量寄存器1。
tdx.quote.body.rtmr_2:运行时的度量寄存器2。
tdx.quote.body.rtmr_3:运行时的度量寄存器3。
tdx.quote.body.tee_tcb_svn2:TDX可信计算基的安全版本号。
tdx.quote.body.mr_servicetd:TDX服务的度量值。
tdx.quote.body.td_attributes:TD的属性。
tdx.td_attributes.debug:TD是否在调试模式下运行。
tdx.td_attributes.key_locker:是否允许TD使用Key Locker。
tdx.td_attributes.perfmon:是否允许TD使用Perfmon和PERF_METRICS功能。
tdx.td_attributes.protection_keys:是否允许TD使用Supervisor Protection Keys。
tdx.td_attributes.septve_disable:用于确定是否在PENDING页面的TD访问上禁用EPT违例转换为
#VE。tdx.quote.type:在TDX V5 Quote中表明Quote的类型。
tdx.quote.size:在TDX V5 Quote中表明Quote的长度。
NVGPU声明
当TEE平台为NVIDIA nvtrust时的相关TEE声明。
nvgpu.gpu.eat_nonce:用于生成GPU证据的随机数。
nvgpu.gpu.gpu_num:要验证的GPU个数。
nvgpu.gpu.x-acs-overall-att-result:GPU验证结果。
nvgpu.gpu.x-acs-ver:GPU远程认证服务版本。
nvgpu.gpu.GPU-X.x-acs-gpu-arch-check:是否对GPU-X的架构进行了验证。
nvgpu.gpu.GPU-X.x-acs-gpu-attestation-report-cert-chain-validated:GPU证书链验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-attestation-report-nonce-match:认证报告中的随机数是否匹配。
nvgpu.gpu.GPU-X.x-acs-gpu-attestation-report-parsed:认证报告解析是否成功。
nvgpu.gpu.GPU-X.x-acs-gpu-attestation-report-signature-verified:认证报告签名验证是否成功。
nvgpu.gpu.GPU-X.x-acs-gpu-driver-rim-cert-validated:Driver Rim File中的证书验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-driver-rim-fetched:是否成功获取到Driver Rim File。
nvgpu.gpu.GPU-X.x-acs-gpu-driver-rim-measurements-available:是否成功获取到Driver Rim的黄金测量值。
nvgpu.gpu.GPU-X.x-acs-gpu-driver-rim-schema-validated:Driver Rim File的模式验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-driver-rim-signature-verified:Driver Rim的签名验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-driver-version:待验证GPU的Driver版本。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-index-no-conflict:Driver Rim中的黄金测量值是否和VBios Rim中的黄金测量值有冲突。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-rim-cert-validated:VBios Rim File中的证书验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-rim-fetched:是否成功获取到VBios Rim File。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-rim-measurements-available:是否成功获取到VBios Rim的黄金测量值。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-rim-schema-validated:VBios Rim File的模式验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-rim-signature-verified:VBios Rim的签名验证是否通过。
nvgpu.gpu.GPU-X.x-acs-gpu-vbios-version:待验证GPU的VBios版本。
nvgpu.switch.eat_nonce:用于生成Switch证据的随机数。
nvgpu.switch.switch_num:待验证的Switch个数。
nvgpu.switch.x-acs-overall-att-result:Switch验证结果。
nvgpu.switch.x-acs-ver:Switch远程认证服务版本。
nvgpu.switch.SWITCH-X.dbgstat:switch是否处于可调试状态。
nvgpu.switch.SWITCH-X.eat_nonce:Switch认证报告的随机数。
nvgpu.switch.SWITCH-X.hwmodel:Switch的HWModel。
nvgpu.switch.SWITCH-X.measres:Switch认证的运行时测量值是否和黄金测量值匹配。
nvgpu.switch.SWITCH-X.secboot:Switch是否从可信状态启动。
nvgpu.switch.SWITCH-X.ueid:Switch的UEID。
nvgpu.switch.SWITCH-X.x-acs-switch-arch-check:SWITCH-X的架构是否匹配。
nvgpu.switch.SWITCH-X.x-acs-switch-attestation-report-cert-chain-validated:Switch证书链验证是否通过。
nvgpu.switch.SWITCH-X.x-acs-switch-attestation-report-nonce-match:Switch证据中的随机数是否和用于生成证据的随机数匹配
nvgpu.switch.SWITCH-X.x-acs-switch-attestation-report-parsed:Switch认证报告解析是否成功。
nvgpu.switch.SWITCH-X.x-acs-switch-attestation-report-signature-verified:Switch认证报告签名验证是否通过。
nvgpu.switch.SWITCH-X.x-acs-switch-bios-rim-cert-validated:Switch的VBios Rim File中的证书验证是否通过。
nvgpu.switch.SWITCH-X.x-acs-switch-bios-rim-fetched:是否成功获取到Switch的VBios Rim File。
nvgpu.switch.SWITCH-X.x-acs-switch-bios-rim-measurements-available:是否成功获取到Switch的VBios Rim中的黄金测量值。
nvgpu.switch.SWITCH-X.x-acs-switch-bios-rim-schema-validated:获取到的VBios Rim File模式验证是否通过。
nvgpu.switch.SWITCH-X.x-acs-switch-bios-rim-signature-verified:Switch的VBios Rim签名验证是否通过。
nvgpu.switch.SWITCH-X.x-acs-switch-bios-version:待验证Switch的VBios版本。
认证者声明
customized_claims:以JSON形式表明的用户远程证明请求中的认证者声明,其当前包含以下内容:
init_data:认证者期望TEE Evidence中包含的TEE启动时信息。
runtime_data:认证者期望TEE Evidence中包含的TEE运行时信息。
评估报告声明
evaluation-reports:阿里云远程证明服务对 TEE Evidence进行评估的报告,当前包含以下内容:
policy-hash:用于验证 TEE Evidence的策略哈希,当前固定为default,表示只对TEE Evidence进行密码学验证。
policy-id:用于验证TEE Evidence的策略ID,当前为空。
阿里云特定声明
x-acs-ver:阿里云远程证明服务生成的JWT格式版本。