8.2. 背书

背书是某个实体（例如制造商）为设备的各种能力的完整性担保的安全声明，例如声明收集、签名、启动代码、过渡到其他环境、存储秘密等。例如，如果设备的签名能力在硬件中，那么背书可能是制造商证书，该证书签署一个公钥，其对应的私钥仅在设备的硬件内部已知。因此，当证据和这样的背书一起使用时，可以基于评估策略进行评估程序，这些评估策略可能不特定于设备实例，而仅特定于提供背书的制造商。例如，评估策略可能只是检查来自给定制造商的设备是否具有与一组参考值匹配的信息。评估策略也可能具有一组更复杂的逻辑，用于评估信息的有效性。

然而，虽然将来自给定制造商的所有设备视为相同的评估策略可能适用于某些用例，但将这种评估策略作为授权的唯一手段对于希望限制哪些合规设备被认为授权用于某些目的的用例来说是不合适的。例如，使用远程证明进行网络端点评估（NEA）[RFC5209]的企业可能不希望让来自同一制造商的每台健康笔记本电脑都接入网络。相反，它可能只想让其合法拥有的设备接入网络。因此，背书可能是认证有关设备信息的有用信息，但不一定足以授权访问可能需要设备特定信息（例如设备或组件或设备上用户的公钥）的资源。