用于证明和密钥管理的可信组件

本仓库包含用于证明机密访客并向其提供密钥的工具和组件。这些组件统称为Trustee。Trustee通常代表访客所有者运行，并与https://github.com/confidential-containers/guest-components%E8%BF%9B%E8%A1%8C%E8%BF%9C%E7%A8%8B%E4%BA%A4%E4%BA%92%E3%80%82

Trustee是为Confidential Containers项目开发的，但可用于各种应用程序和硬件平台。

组件

• 密钥代理服务
  KBS是一个促进远程证明和密钥交付的服务器。其角色类似于RATS模型中的依赖方。

• 证明服务
  AS用于验证TEE证据。在RATS模型中，这是验证方。

• 参考值提供服务
  RVPS管理用于验证TEE证据的参考值。这与RATS文档第7.5节中的讨论相关。

• KBS客户端工具
  这是一个简单工具，可用于测试或配置KBS和AS。

有关更多信息，请参见各个组件的文档。

架构

Trustee具有灵活性，可通过多种不同配置部署。下图显示了一种常见的部署方式，这些组件与某些访客组件协同工作。

flowchart LR
AA -- 证明访客 ----> KBS
CDH -- 请求资源 --> KBS
subgraph 访客
CDH AA
end
subgraph Trustee
AS -- 验证证据 --> KBS
RVPS -- 提供参考值--> AS
end
client-tool -- 配置 --> KBS

开发

请参见此处。

部署

部署Trustee主要有两种方式。

Docker Compose

使用Docker compose是开始使用Trustee的一种简单方法，可用于快速设置与上图匹配的集群。

请参考集群设置指南。

此集群可在VM内运行，也可作为托管服务的一部分运行。

Kubernetes

在Kubernetes上部署Trustee有两种受支持的方式。一种是通过https://github.com/confidential-containers/kbs-operator%E9%83%A8%E7%BD%B2KBS%E7%BB%84%E4%BB%B6%E3%80%82%E7%AC%AC%E4%BA%8C%E7%A7%8D%E9%80%89%E6%8B%A9%E6%98%AF%E4%BD%BF%E7%94%A8KBS%E6%8F%90%E4%BE%9B%E7%9A%84Kubernetes%E5%B7%A5%E5%85%B7%EF%BC%8C%E8%AF%A6%E8%A7%81%E6%AD%A4%E5%A4%84%E3%80%82

许可证