我目前正在尝试在医疗领域使用intel的隐私计算技术。我想在我们的数据中心建立一些飞地。但数据中心没有连接到互联网,这使得远程认证过程似乎不可行。 如果我需要在数据中心内构建 Enclave,有什么可行的解决方案可以让我的 enclave 得到验证。或者是否可以在没有互联网连接的情况下生成报告和报价?
我的另一个问题是是否可以对飞地进行预先证明并获得证明(或证书)。之后,所有用户请求都可以直接根据之前的证明提出,而无需每次在与 enclave 交互之前都进行远程证明。
在未连接到互联网的数据中心中,您仍然可以使用英特尔数据中心证明基元 (DCAP) 执行远程证明。
本质上,飞地可以配置为使用位于同一数据中心的缓存服务,而不是通过互联网获取英特尔证明服务 (IAS)。英特尔提供了一种名为“配置认证缓存服务”(PCCS) 的参考缓存服务和各种库。
请参阅 https://www.intel.com/content/www/us/en/developer/articles/guide/intel-software-guard-extensions-data-center-attestation-primitives-quick-install-guide.html 了解 DCAP 的介绍和快速安装指南。在您的情况下,由于没有互联网访问,您将需要使用
OFFLINE
缓存填充模式:
在这种填充缓存的方法中,缓存服务将无法访问互联网上的英特尔托管 PCS 服务。它将创建一个平台数据库条目来保存PCK Cert ID检索工具发送的平台注册信息。它将提供一个接口,允许管理工具检索注册队列的内容。管理员工具将在可以访问互联网的平台上运行。它可以从英特尔 PCS 获取平台资料并将其发送到缓存服务。该工具可以在 SGXDataCenterAttestationPrimitives/tools/PccsAdminTool
找到
在RFC 9334:远程认证过程(RATS)架构中,这称为“护照”模型。
例如,验证者服务可以检查 SGX 证明。验证成功后,它向 enclave 颁发令牌或证书。 enclave 向用户(RATS 中的“依赖方”)提供令牌或证书,因此用户检查令牌/证书,而不是 SGX 证明引用本身。这要求用户信任颁发令牌/证书的验证者服务,因为即使应用程序没有在安全区中运行,恶意验证者也可以颁发令牌/证书。
护照式验证服务的一些示例包括Intel Trust Authority和Microsoft Azure Attestation。由于这些是 SaaS 产品,您需要互联网连接才能使用它们。
如果与 DCAP 结合使用,Anjuna 策略管理器还可以在没有互联网访问的数据中心环境中使用。