3.3. 复合设备
3.3. 复合设备
复合设备是由多个子实体组成的实体,其可信度必须通过对所有这些子实体的评估来确定。
每个子实体至少有一个 Attesting Environment 从至少一个 Target Environment 收集 Claims。然后,该子实体生成关于其可信度的 Evidence;因此,每个子实体可以称为"Attester"。在所有 Attesters 中,可能只有一些具有与 Verifier 通信的能力,而其他则没有。
例如,运营商级路由器由一个机箱和多个插槽组成。路由器的可信度取决于其所有插槽的可信度。每个插槽都有一个 Attesting Environment,例如 TEE,收集其引导过程的 Claims,然后从 Claims 生成 Evidence。
在这些插槽中,只有"主"插槽可以与 Verifier 通信,而其他插槽则不能。但是,其他插槽可以通过路由器内部它们之间的链路与主插槽通信。主插槽收集其他插槽的 Evidence,生成整个路由器的最终 Evidence,并将最终 Evidence 传送给 Verifier。因此,路由器是复合设备,每个插槽是一个 Attester,主插槽是主导 Attester。
另一个示例是由多个单个运营商级路由器组成的多机箱路由器。多机箱路由器设置通过互连这些组中的多个路由器来创建冗余组,从而提供更高的吞吐量,可以将其视为一个逻辑路由器以简化管理。多机箱路由器设置提供了一个连接到 Verifier 的管理点。通常,组中的一个路由器被指定为主路由器。多机箱设置中的其他路由器仅通过物理网络链路连接到主路由器;因此,它们通过主路由器的帮助进行管理和评估。因此,多机箱路由器设置是复合设备,每个路由器是一个 Attester,主路由器是主导 Attester。
图 4 描述了复合设备的概念数据流。
.-----------------------------.
| Verifier |
'-----------------------------'
^
|
| Evidence of
| Composite Device
|
.----------------------------------|-------------------------------.
| .--------------------------------|-----. .------------. |
| | Collect .---------+--. | | | |
| | Claims .--------->| Attesting |<--------+ Attester B +-. |
| | | |Environment | | '-+----------' | |
| | .--------+-------. | |<----------+ Attester C +-. |
| | | Target | | | | '-+----------' | |
| | | Environment(s) | | |<------------+ ... | |
| | | | '------------' | Evidence '------------' |
| | '----------------' | of |
| | | Attesters |
| | lead Attester A | (via Internal Links or |
| '--------------------------------------' Network Connections) |
| |
| Composite Device |
'------------------------------------------------------------------'
图 4: 复合设备
在复合设备中,每个 Attester 通过其 Attesting Environment(s) 从其 Target Environment(s) 收集 Claims 来生成自己的 Evidence。主导 Attester 从其他 Attesters 收集 Evidence 并将其传送给 Verifier。从子实体收集 Evidence 本身可能是一种 Claims 收集形式,导致由主导 Attester 断言的 Evidence。主导 Attester 生成关于整个复合设备布局的 Evidence,而子 Attesters 生成关于其各自(子)模块的 Evidence。
在这种情况下,第 7 节中描述的信任模型也可以应用于内部 Verifier。