背景
客户使用DICE挑战响应能力场景下:
1、预期有限制带外使用DICE挑战响应做信任背书的能力
2、预期有对DICE响应挑战的数据格式有选择能力
关联ISSUE
整体方案
基于现有资源协作接口bmc.kepler.Managers.Security.DICE
- 新增属性
AttestationAccess用于带内外请求限制配置。 - 新增属性
AttestationCustomExtensionFormat用于对DICE挑战响应数据格式配置。
评审点:变更资源协作接口 bmc.kepler.Managers.Security.DICE
变更描述:
新增属性 AttestationAccess新增属性 AttestationCustomExtensionFormat
{
"bmc.kepler.Managers.Security.DICE": {
"methods": {
"ExportCSR": {...
},
"ImportCertificate": {...
},
"ExportCertificateChain": {...
},
"ExportHardwareComponentsCertficateChain": {...
},
}
}
}
详细描述
资源path:/bmc/kepler/Managers/:Id/Security/DICE
资源interface:bmc.kepler.Managers.Security.DICE
变化类型:
- 新增 属性
AttestationAccess,用于支持限制带外使用DICE挑战响配置。 - 新增 属性
AttestationCustomExtensionFormat,用于支持对DICE挑战响应数据格式配置。
| 变更类型 | 属性名称 | 签名 | 只读 | 变化通知 | 属性描述 | 取值范围 | 默认值 | 访问权限 | 属性来源 | 持久化类型 | 易变属性 | 变更影响 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 新增 | AttestationAccess | as | false | true | 控制通道是否可访问DICE挑战响应接口,数组为空时表示所有通道均可访问 | 可选值: “Host”: 表示限制仅带内可以访问, 不区分单/多Host |
空数组 | Read: ReadOnly Write: SecurityMgmt |
用户配置 | 掉电持久化 | false | 无影响 |
| 新增 | AttestationCustomExtensionFormat | s | false | true | 控制DICE挑战响应接口返回的数据格式(X509标准中x509 v3 extensions下的 X509 Custom Extension格式) | OEM:自定义DICE响应挑战数据格式 TCG:可信计算组DICE响应挑战数据格式 |
OEM | Read: ReadOnly Write: SecurityMgmt |
用户配置 | 掉电持久化 | false | 无影响 |
评审结论
评审通过,同意在bmc.kepler.Managers.Security.DICE接口下新增属性AttestationAccess和AttestationCustomExtensionFormat,属性详细定义参见详细描述
遗留问题
1、 限制仅带内可以访问,补充说明多host场景的策略
结论:不区分单/多Host
2、AttestationCustomExtensionFormat属性描述需要补充规范来源
结论:已补充说明是x509 v3 extensions域下的 X509 Custom Extension Format