T/ZTCIA 001-2023 可信计算产品规范
资料介绍
shICS 35.040
L80
中关村可信计算产业联盟团体标准
T/ZTCIA 001—2023
可信计算产品规范
Trusted computing product specification
2023 - 12 - 10 发布2023 - 12 - 12 实施
中关村可信计算产业联盟发布
目 次
前 言..................................................................... 1
1 范围....................................................................... 1
2 规范性引用文件............................................................. 1
3 术语和定义................................................................. 1
4 缩略语..................................................................... 3
5 概述....................................................................... 3
5.1 可信计算产品逻辑框架................................................... 3
5.2 等级划分............................................................... 5
5.3 可信根构建要求......................................................... 5
5.4 可信计算功能要求....................................................... 5
5.5 测试评价方法........................................................... 6
6 技术要求................................................................... 6
6.1 基本级................................................................. 6
6.1.1 可信根构建要求..................................................... 6
6.1.2 可信计算功能要求................................................... 6
6.2 增强级................................................................. 7
6.2.1 可信根构建要求..................................................... 7
6.2.2 可信计算功能要求................................................... 7
7 测评方法................................................................... 8
7.1 基本级................................................................. 8
7.1.1 可信根构建方式..................................................... 8
7.1.2 可信计算功能....................................................... 9
7.2 增强级................................................................ 11
7.2.1 可信根构建方式.................................................... 11
7.2.2 可信计算功能要求.................................................. 13
附录A ...................................................................... 17
I
前 言
本文件按照GB/T 1.1-2020给出的规则起草。
本文件由中关村可信计算产业联盟提出并归口。
本文件起草单位:
北京工业大学、中关村可信计算产业联盟、北京同创安全可信科技有限公司、天津飞腾
信息技术有限公司、海光信息技术有限公司、玄甲微电子(北京)有限责任公司、曙光信息
产业(北京)有限公司、珠海奔图电子有限公司、麒麟软件有限公司、山西百信信息技术有
限公司、宁波和利时信息安全研究院有限公司视联动力信息技术股份有限公司、北京计算机
技术及应用研究所(706)、北京天融信网络安全技术有限公司、中电科技(北京)有限公
司、江苏云涌电子科技股份有限公司、蚂蚁科技集团股份有限公司、宝德网络安全系统(深
圳)有限公司、联想(长风)科技北京有限公司、北京神州绿盟信息安全科技股份有限公司、
北京嘉华龙马科技有限公司、北京旋极安辰计算科技有限公司、北京辰光融信技术有限公司、
中诚华隆计算机技术有限公司、北京中安星云软件技术有限公司、北京天地和兴科技有限公
司。
本文件主要起草人:孙瑜、张建标、王振宇、宁振虎、洪宇、张亚光、王永刚、吴宗友
郑臣明、乐翔、楚兵、修桂林、罗奥、梅颖、刘立、余成柱、高渊、侯伟星、彭继兵、王震、
杨诏钧、张瑞珍、唐道光、方东、王艳辉、李正坤、祁春慧、安高峰、王嘉诚、于洋、孙亮、
陈小春、孙少敏、冯秀景、王伟利、李伟招、王猛、张宏、马永清、姚尧。
1
1 范围
本文件规定了不同等级可信计算产品的可信计算等级划分、不同等级的可信计算技术要
求及测试评价方法。
本文件适用于可信计算产品的可信计算功能的设计、研发与测试,并可用于安全测评服
务机构、等级保护对象的运营使用单位对可信计算产品的测评工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期
的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括
所有的修改单)适用于本文件。
GB/T 22239-2019 信息安全技术网络安全等级保护基本要求
GB/T 25069-2010 信息安全技术术语
GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求
GB/T 28448-2019 信息安全技术网络安全等级保护测评要求
GB/T 29827-2013 信息安全技术可信计算规范可信平台主板功能接口
GB/T 29829-2013 信息安全技术可信计算密码支撑平台功能与接口规范
GB/T 37935-2019 信息安全技术可信计算规范可信软件基
GB/T 38638-2020 信息安全技术可信计算可信计算体系结构
GM/T 0011-2012 可信计算可信密码支撑平台功能与接口规范
GM/T 0012-2020 可信计算可信密码模块接口规范
GM/T 0013-2012 可信计算可信密码模块符合性检测规范
GA/T XX-XXXX 信息安全技术信息安全产品安全可信要求(报批稿)
3 术语和定义
GB/T 25069-2010、GB/T 29827-2013、GB/T 29829-2013和GB/T 37935-2019界定的以及
下列术语和定义适用于本文件。
3.1
可信计算产品Trusted computing products
具备可信计算功能的各类计算机设备,包括但不限于通用PC机、通用服务器、笔记本
电脑、移动终端设备、网络安全设备、网络通信设备、工控设备、物联网设备等。
2
3.2
可信计算平台trust computing platform
构建在计算系统中,用于实现可信计算功能的支撑系统
[GM/T 0013-2012,定义3.1]
3.3
可信根root of trust
可信根是可信计算平台的信任源点,由TPCM、TCM和TSB构成。TPCM是可信平台控
制模块,负责发起可信验证、获取可信验证数据、执行可信验证中运算(非密码相关)、存
储相关策略信息、执行可信控制等。TCM是可信密码模块,为可信验证操作提供密码服务
支撑。可信根是用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存
储、密码运算等服务的功能模块。
3.4
可信平台控制模块trusted platform control module
一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算平
台提供完整性度量、安全存储、可信报告以及密码服务等功能。
[GB/T 29827-2013,定义3.20]
3.5
可信密码模块trusted cryptography module
可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
[GM/T 0012-2020,定义3.7]
3.6
可信基准值trusted baseline value
表示对象可信特性的数据,作为判断对象是否可信的参照。
[GB/T 37935-2019,定义3.5]
3.7
静态度量static measurement
在系统启动过程中,对系统完整性进行测量和评估的可信度量方法。
3
3.8
动态度量dynamic measurement
在系统运行过程中,对系统完整性和行为安全性进行测量和评估的可信度量方法。
[GB/T 37935-2019,定义3.9]
3.9
可信软件基trusted software base
为可信计算平台的可信性提供支持的软件元素的集合。
[GB/T 37935-2019,定义3.3]
3.10
可信报告trusted report
可信计算平台对外提供的状态凭据,内容包括静态度量、动态度量等验证数据,状态凭
据应由可信密码模块进行密码保护。
4 缩略语
下列缩略语适用于本文件。
TPCM 可信平台控制模块(trusted platform control module)
TSB 可信软件基(trusted software base)
TCM 可信密码模块(trusted cryptography module)
5 概述
5.1 可信计算产品逻辑框架
可信计算产品依据主动免疫可信计算双体系架构进行设计实现,由计算部件和防护部件
组成(按照GB/T 38638-2020图2可信计算节点的构成的描述),计算部件无法访问防护部件
的资源,防护部件可访问计算部件的所有资源,双方通过安全的专用通道进行交互。其中,
可信根作为一个独立于运算的防护部件,拥有隔离保障的硬件资源和主动访问运算部件资源
的接口。可信计算产品的防护部件包括可信根、启动固件层可信验证代理、操作系统层可信
验证代理、网络可信验证代理和可信管理软件五部分组成,各部分相互配合共同实现可信验
证相关功能。
从结构上,可信计算产品包括硬件资源、启动固件、操作系统和应用软件四个层次,其
中硬件资源是指构成可信计算产品的CPU、主板、内存、硬盘、网卡等硬件资源,可信根由
硬件实现,其形态跟产品硬件相关。可信计算产品中的防护部件在硬件资源中拥有独立的硬
4
件资源,在启动固件、操作系统、应用软件层面中都有可信验证代理,并且有可信管理软件
实现管理功能。
典型可信计算产品组成框架如下图所示:
图1 典型可信计算产品逻辑组成框架图
可信根是可信计算技术体系的核心,也是信任的源点。可信根具有独立、隔离的安全运
行环境,通过硬件实现,逻辑上可信根由TCM、TPCM和TSB三部分组成,典型的可信根可
以通过在CPU内部硬件实现,也可以通过板载、插卡等CPU外置的硬件方式实现。无论是
CPU内置构建的可信根还是CPU外置方式构建的可信根,其组成结构和逻辑都是一样的。可
信根能够并行获取计算节点中的度量对象信息(例如内存中的数据、I/O设备状态等),在设
备启动时有优先的启动控制实现,可信根中的可信密码模块(TCM)能够提供符合国家商
业密码要求的密码运算和密码服务。
启动固件层可信验证代理在启动固件加载操作系统的过程中,截获加载行为并采集加载
数据信息,将信息发送给可信根并等待验证结果,依据结果进行控制处理。
操作系统层可信验证代理在操作系统加载可执行代码过程中,截获加载应用程序行为并
采集加载数据信息,将信息发送给可信根并等待验证结果,依据结果进行控制处理。同时可
信验证代理对内存关键数据进行布局分析。
网络可信验证代理在网络连接建立过程中,截获网络连接请求并启动可信连接协议请求,
获取对端的可信报告,收到可信报告后将其发送给可信根进行验证,等待验证结果并依据结
果进行控制处理。
可信管理软件是软件层的管理软件,主要收集各层次可信验证代理信息,并实现可信管
理接口,从而实现与可信管理中心通信。
5
可信管理中心是对TSB和TPCM进行策略、基准值、日志统一管理的平台,为可信接入
提供仲裁服务,实现信任管理。可信管理中心通过可信计算产品实现的可信管理接口完成管
理工作,可以由本地管理工具实现,也可以通过网络由单独的硬件平台实现。
综上,可信计算产品核心功能为启动时的静态度量阶段和运行时的动态度量阶段。静态
度量阶段在可信根支撑下,对BIOS固件、操作系统引导程序、操作系统内核、重要配置参
数和应用程序启动时进行完整性度量,逐级构建信任链。静态度量从可信根到系统初始运行
的全过程,在每个环节中可信根主动度量下一个执行环节可执行部件的可信性,确认其可信
性后,将控制权交给下一个环节的执行主体。动态度量是在操作系统启动后对系统和应用程
序实施可信验证并提供可信报告的过程,即在操作系统获得控制权后,可信验证代理通过对
系统行为的监控,协同可信根获取度量对象数据、动态解析验证策略、执行可信验证、反馈
验证结果、拦截不可信行为、记录度量结果、上报可信管理中心并依据可信策略实施控制。
5.2 等级划分
可信计算产品分为基本级和增强级,可信计算功能强弱是等级划分的具体依据,等级突
出其可信功能特性。其中,基本级的可信计算功能要求对应GB/T 22239-2019二级的可信验
证相关要求,可适用于二级(包括二级)以下系统产品;增强级的可信计算功能要求对应
GB/T 22239-2019四级的可信验证相关要求,可适用于一、二、三、四级系统产品。
基本级和增强级对可信根的构建要求不同;在可信计算功能上基本级基于可信根,实现
启动阶段的可信度量;增强级基于可信根,实现启动阶段和运行阶段的可信度量。
5.3 可信根构建要求
可信根是等级保护2.0一级到四级都必需的安全部件,必须以硬件为载体,可信验证也
是等级保护2.0一级到四级都必要的检测项。可信根是可信计算平台的信任源点,由可信平
台控制模块和可信密码模块构成。TPCM负责发起和执行可信验证操作;TCM为可信验证操
作提供密码服务支撑,需要符合我国密码管理局相关要求采用我国TCM产品。在基本级中
TCM模块必须通过硬件实现,TPCM模块可以通过软件实现;在增强级中TCM模块和TPCM
模块都必须通过硬件实现。
可信根构建要求主要包括:可信根的物理形态、构建方式、可信根自身的隔离保障、可
信根在系统启动时的顺序和控制接口(包括了信任链构建顺序和启动链中信任根的起始位置)
以及可信根是否具有主动度量和主动控制接口。
5.4 可信计算功能要求
可信计算功能包括静态度量、动态度量、可信接入、可信控制、可信审计、可信报告生
成等。可信计算功能测评是对可信计算产品中是否具备可信计算功能以及其实现的情况进行
检测及测试。
测评将依据不同等级要求对每一项功能进行检测,例如静态度量和动态度量,对度量的
数据获取方式、度量的范围、度量中使用的密码运算是否为商用密码算法、密钥管理体系是
否符合TCM规范、度量的触发方式、度量的基准、度量的日志存储保护等。
6
5.5 测试评价方法
本文件针对每一个测试要求项的测评就构成一个单项测评,针对所有单向测评的具体测
评内容构成测评实施。在对每一测试要求项进行测评时,可能用核查和(或)测试两种测试
方法, 可能用到其中一种或两种。测评实施的内容主要针对GB/T 22239-2019 及
GB/T25070-2019确定的所有关于可信相关的要求,约定其要求项的测评要求,使用时应当
按照这些测评要求开发测评工具并设计测试用例,以开展对可信计算产品功能的测评活动。
6 技术要求
6.1 基本级
6.1.1 可信根构建要求
可信根产品应使用国家密码管理局认证核准的密码技术进行实现,可信验证的密码模块
功能设计应符合密码相关国家标准或行业标准要求,可信根中的密码模块需以硬件形态实现,
并实现其密码资源的隔离保障功能。
可信根应先于操作系统内核启动前运行,所有可信度量中的密码运算由可信根密码模块
完成。
6.1.2 可信计算功能要求
6.1.2.1 静态度量
产品应能够基于可信根对操作系统引导程序、操作系统内核、应用程序、动态链接库、
脚本程序等可执行代码,及重要配置参数等,在其加载前进行可信验证,并在检测到可信性
受到破坏后进行打印输出,并将验证结果通过可信管理接口发送至可信管理中心。
6.1.2.2 可信控制
产品应能够依据可信度量的结果,按照预定义策略,在检测到其可信性受到破坏时采取
控制措施,例如操作阻断。
6.1.2.3 可信审计
产品应能够对度量动作和结果生成可信审计记录,可信审计记录应包括度量时间、度量
方式、度量对象、验证结果等,并能够对可信审计记录进行完整性保护。
6.1.2.4 可信报告
产品应能够依据度量结果生成可信报告和可信状态,可信报告包含设备当前的可信状态,
并使用可信根中的平台身份密钥对可信报告进行签名保护。
6.1.2.5 可信管理接口
6.1.2.5.1 身份验证
可信根应能够提供可信管理接口,对可信管理中心下发的策略数据来源进行身份验证,
验证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日志和从管理节点
获取策略。
6.1.2.5.2 通信保护
产品可信管理接口应具备对接口传输数据完整性和保密性的安全保护功能。
7
6.1.2.5.3 管理数据传输
产品应能够通过可信管理接口向可信管理中心发送可信基准值、审计记录和可信报告;
同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基准值等信息。
6.2 增强级
6.2.1 可信根构建要求
可信根中的TPCM模块和TCM模块应以硬件形态实现,并实现其计算资源和密码资源的
隔离保障功能。可信根中TCM模块应使用国家密码管理局认证核准的密码技术进行实现,
可信验证的密码模块功能设计应符合密码相关国家标准或行业标准要求。
可信根中TPCM模块应具备主动访问计算资源接口并能够先于CPU计算核进行验证工
作,即设备的信任链起点应为可信根,可信根是设备第一个执行部件。
所有可信度量中的密码运算由可信根密码模块完成,可信度量对象数据由可信根中控制
模块获取。
6.2.2 可信计算功能要求
6.2.2.1 静态度量
产品应能够基于可信根对系统BIOS、操作系统引导程序、操作系统内核、应用程序、
动态链接库、脚本程序等可执行代码,及重要配置参数等,在其加载前进行可信验证,并在
检测到可信性受到破坏后进行日志或输出,并将验证结果通过可信管理接口发送至可信管理
中心。
6.2.2.2 动态度量
产品应能够在应用程序执行自身业务功能的重要环节,依据策略主动截获应用程序的系
统行为,包括行为相关的主体、客体、操作等信息,对其进行可信验证。
6.2.2.3 可信接入
产品应能够基于可信根对网络连接的两端设备进行双向可信验证,可信验证要素应包括
设备身份、启动信任链状态和运行状态。其中启动信任链状态和运行状态通过可信报告来进
行体现,并能够依据可信接入策略进行网络控制并记录日志。
6.2.2.4 可信控制
产品应能够依据可信度量的结果,当检测到可信性受到破坏后,按照预定义策略采取控
制措施,例如操作阻断。
6.2.2.5 可信审计
产品应能够对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度量方式、
度量对象、验证结果等。
6.2.2.6 可信报告
产品应能够依据静态度量和动态度量结果生成可信报告和可信状态,可信报告包含设备
当前的可信状态,并使用可信根中的平台身份密钥对可信报告进行签名保护
6.2.2.7 可信存储
产品可信根应能提供安全隔离的内部存储空间,基于可信根对关键数据进行密封保护,
密封保护机制应支持基于口令、设备可信状态、进程身份等要素的访问策略制定。
8
6.2.2.8 可信管理接口
6.2.2.8.1 身份验证
产品应能够提供可信管理接口,对可信管理中心下发的策略数据来源进行身份验证,验
证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日志和从管理节点获
取策略。
6.2.2.8.2 通信保护
产品可信管理接口应具备对接口传输数据完整性和保密性的安全保护功能。
6.2.2.8.3 管理数据传输
产品应能够通过可信管理接口向可信管理中心发送可信基准值、审计记录和可信报告;
同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基准值等信息。
7 测评方法
7.1 基本级
7.1.1 可信根构建方式
7.1.1.1 可信根物理形态
7.1.1.1.1 测评单元
a) 测评指标:可信根产品应使用国家密码管理局认证核准的密码技术进行实现,可
信验证的密码模块功能设计应符合密码相关国家标准或行业标准要求,可信根中
的密码模块需以硬件形态实现。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的可信密码模块是否为物理形态;
2) 应核查可信根中的可信密码模块是否具备国家密码管理局颁发的商用密码
产品认证证书,可信验证的密码模块功能设计是否符合GM/T 0011、GM/T
0012、GM/T 0013或GM/T 0058等可信计算相关标准要求,或核查商用密码
产品认证证书中产品名称/型号是否包含“可信计算密码模块”。
d) 单元判定:若1)~ 2)为肯定则符合本单元指标要求,否则为不符合。
7.1.1.2 可信根的隔离机制
7.1.1.2.1 测评单元
a) 测评指标:可信根中的密码模块需以硬件形态实现,并实现其密码资源的隔离保
障功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的密码存储资源与密码运算资源是否独立于计算部件(例如实
现计算任务的CPU或IP核);
2) 应核查主机CPU是否不能直接访问可信根内部资源。
d) 单元判定:若1)~2)为肯定则符合本单元指标要求,否则为不符合。
9
7.1.1.3 可信根启动时序
7.1.1.3.1 测评单元
a) 测评指标:可信根应先于操作系统内核启动前运行。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信根是否先于操作系统内核启动前运行。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
7.1.1.4 可信根度量
7.1.1.4.1 测评单元
a) 测评指标:所有可信度量中的密码运算由可信根密码模块完成。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是使用可信根中密码模块完成密码运算;
2)应核查可信度量的密码运算结果是否与可信根中密码模块运算结果一致。
d) 单元判定:若1)~ 2)为肯定则符合本单元指标要求,否则为不符合。
7.1.2 可信计算功能
7.1.2.1 静态度量
7.1.2.1.1 测评单元
a) 测评指标:基于可信根对操作系统引导程序、操作系统内核,及重要配置参数等,
在其加载前进行可信验证,并在检测到可信性受到破坏后进行日志或输出,并将
验证结果通过可信管理接口发送至可信管理中心。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查可信度量是否能够度量到操作系统引导程序、操作系统内核、内核模
块、初始文件系统等;
3)应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
4)应核查度量失败后是否能够进行日志记录或结果输出。
d) 单元判定:若1)~ 4)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.1.2 测评单元
a) 测评指标:基于可信根对新创建的进程进行可信验证,应对可执行程序、动态链
接库、脚本等以文件执行方式加载的可执行代码在其执行前进行可信验证,并在
检测到可信性受到破坏后进行日志记录。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是基于可信根密码模块进行度量;
2)应核查以文件执行方式的可信度量对象是否包括驱动程序、应用程序、动态链
接库、脚本程序等,具体而言可以包括例如ELF格式可执行程序,动态链接库,
内核模块;
3)应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏。
4)应核查度量验证失败后是否能够进行日志记录或输出,在可信管理中心应能够
看到度量日志或输出。
d) 单元判定:若1)~ 4)均为肯定则符合本单元指标要求,否则为不符合。
10
7.1.2.2 可信控制
7.1.2.2.1 测评单元
a) 测评指标:依据可信度量的结果,按照预定义策略,在检测到其可信性受到破坏
时采取控制措施,如操作阻断。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信机制(包括可信根和可信软件基)是否能够依据度量结果和策略,
对度量对象执行阻断调用。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
7.1.2.3 可信审计
7.1.2.3.1 测评单元
a) 测评指标:对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度
量方式、度量对象、验证结果等,并能够对可信审计记录进行完整性保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信审计记录度量结果中是否包括度量时间、度量对象、度量结果;
2)应核查每一条审计记录是否包括事件发生的日期、时间、对象、事件描述和
结果等;
3)应检查是否基于可信根对可信审计记录进行加密保护。
e) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.4 可信报告
7.1.2.4.1 测评单元
a) 测评指标:依据度量结果生成可信报告和可信状态,可信报告包含设备当前的可信
状态,并使用可信根中的平台身份密钥对可信报告进行签名保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查是否能够周期或由事件触发生成可信报告,可信报告应包括可信状态、
设备唯一标识、防重放标识号、生成时间;
2)应核查可信报告中的可信状态是否由可信根产生,且是否使用了可信根中平台
身份密钥进行签名保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.5 可信管理接口
7.1.2.5.1 测评单元
a) 测评指标:可信根应能够提供可信管理接口,对可信管理中心下发的策略数据来源
进行身份验证,验证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日
志和从管理节点获取策略。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信根是否能够验证由可信接口下发的可信策略数据来源,并且只有
验证通过后才能加载该策略。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
11
7.1.2.5.2 测评单元
a) 测评指标:可信计算功能的管理接口应具备对接口传输数据完整性和保密性的安全
保护功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的完整性
保护;
2)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的保密性
保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.5.3 测评单元
a) 测评指标:可信计算功能应能够通过可信管理接口向可信管理中心发送可信基准值、
审计记录和可信报告;同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基
准值等信息。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否能够向管理节点发送度量结果、可信报告和审计记
录等信息;
2)应测试可信管理接口是否能够接收管理节点的策略、可信基准值等更新信息;
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2 增强级
7.2.1 可信根构建方式
7.2.1.1 可信根物理形态
7.2.1.1.1 测评单元
a) 测评指标:可信根中的TPCM模块和TCM模块应以硬件形态实现,可信根中TCM
模块应使用国家密码管理局认证核准的密码技术进行实现,可信验证的密码模块
功能设计应符合密码相关国家标准或行业标准要求。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的TPCM模块是否为物理形态,即为CPU-IP核、CPU内部安
全芯片、主板上板载芯片、总线接入芯片中的一种;
2) 应核查可信根中的可信密码模块是否为物理形态;
3) 应核查可信根中的可信密码模块是否具备国家密码管理局颁发的商用密码
产品认证证书,可信验证的密码模块功能设计是否符合GM/T 0011、GM/T
0012、GM/T 0013或GM/T 0058等可信计算相关标准要求,或核查商用密码
产品认证证书中产品名称/型号是否包含“可信计算密码模块”。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
12
7.2.1.2 可信根的隔离机制
7.2.1.2.1 测评单元
a) 测评指标:可信根中的TPCM模块和TCM模块应以硬件形态实现,并实现其计算
资源和密码资源的隔离保障功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的密码存储资源、密码运算资源、通用计算资源、通用存储资
源(包括内存和非易失性存储)是否独立于计算部件(例如实现计算任务的
CPU或IP核);
2) 应核查主机CPU是否不能直接访问可信根内部任何资源;
3) 应核查可信根是否可以对内部存储资源进行管理,是否可以存储用户密钥和关
键数据。
d) 单元判定:若1)~3)为肯定则符合本单元指标要求,否则为不符合。
7.2.1.3 可信根启动时序
7.2.1.3.1 测评单元
a) 测评指标:可信根中TPCM模块应具备主动访问计算资源接口并能够先于CPU计算
核进行验证工作,即设备的信任链起点应为可信根,可信根是设备第一个执行部
件。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根在上电开机后是否能够先于计算处理器执行固件(例如BIOS)前
执行;
2) 应核查可信根是否能够主动获取计算处理器执行的固件存储资源;
3) 应核查启动链中各环节是否能够全部通过可信度量,即是否能够建立完整的信
任链,典型信任链环节包括基础固件、操作系统引导程序、操作系统内核、应
用程序以及启动过程中重要配置文件,篡改其中部分内容后可信根是否能够度
量出被篡改的对象,并进行记录日志或打印输出;
4)应核查可信根在检测出不可信时是否能够依据策略阻断启动。
d) 单元判定:若1)~ 4)均为肯定则符合本单元指标要求,否则为不符合。
7.2.1.4 可信根主动度量
7.2.1.4.1 测评单元
a) 测评指标:所有可信度量中的密码运算由可信根密码模块完成,可信度量对象数
据由可信根获取。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是使用可信根中密码模块完成密码运算;
2)应核查可信度量的密码运算结果是否与可信根中密码模块运算结果一致;
3)应核查可信根是否能够主动获取主机资源(例如内存资源)。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
13
7.2.2 可信计算功能要求
7.2.2.1 静态度量
7.2.2.1.1 测评单元
a) 测评指标:基于可信根对系统BIOS在其加载前进行可信度量,并在检测到可信性
受到破坏后进行日志记录或结果输出。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块(TCM)进行度量;
2) 应核查可信度量是否能够度量到BIOS的执行程序程序文件;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内部存
储资源或用可信根中密码模块进行基于密码的完整性保护;
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
5) 应核查度量失败后是否能够进行日志记录或结果输出。
d) 单元判定:若1)~ 5)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.1.2 测评单元
a) 测评指标:基于可信根对操作系统引导程序、操作系统内核等,在其加载前进行
可信验证,并在检测到可信性受到破坏后进行日志或打印输出。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查可信度量是否能够度量操作系统引导程序、操作系统内核、内核模块、
初始文件系统等;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内部存
储资源或用可信根中密码模块进行基于密码的完整性保护
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
5) 应核查度量失败后是否能够进行日志记录或结果输出。
d) 单元判定:若1)~5)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.1.3 测评单元
a) 测评指标:基于可信根对新创建的进程进行可信验证,应对可执行程序、动态链
接库、脚本等以文件执行方式加载的可执行代码在其执行前进行可信验证,并在
检测到可信性受到破坏后进行日志记录。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查以文件执行方式的可信度量对象是否包括驱动程序、应用程序、动
态链接库、脚本程序等,具体而言可以包括例如ELF格式可执行程序,动
态链接库,内核模块;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内
部存储资源或用可信根中密码模块进行基于密码的完整性保护;
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
5) 应核查度量失败后是否能够进行日志记录,在可信管理中心是否能够看到
度量日志。
e) 单元判定:若1)~ 5)均为肯定则符合本单元指标要求,否则为不符合。
14
7.2.2.1.4 测评单元
a) 测评指标:基于可信根应对关键的数据文件在业务进程对其读取加载前进行可信
验证,并在检测到可信性受到破坏后拒接其加载,并将日志上传管理中心。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查以文件读取方式加载的度量对象是否包括关键配置文件,具体而言
应包括例如应用程序配置文件形如*.conf 、*.cfg等文件;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内
部存储资源或用可信根中密码模块进行基于密码的完整性保护;
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏并
拒绝其加载;
5) 应核查度量失败后是否能够进行日志记录,在可信管理中心是否能够看到
该记录。
f) 单元判定:若1)~ 5)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.2 动态度量
7.2.2.2.1 测评单元
a) 测评指标:基于可信根在应用程序执行自身业务功能的重要环节,依据策略主动截
获应用程序的系统行为,包括行为相关的主体、客体、操作等信息,对其进行可信
验证。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查动态度量机制是否可以通过策略配置在指定执行环节进行可信度量,执
行环节度量是否包括系统调用;
2)应核查动态度量是否能够对系统调用表,中断描述符,内核代码段,进程代码
段(包括加载的动态库)、可加载内核模块代码段,文件系统关键操作函数,
网络地址族/协议族关键数据进行可信度量;
3)应核查动态度量机制是否能够支持定时和触发两种触发机制;
4)应核查动态度量过程中是否是使用可信根进行密码运算;
5)应核查动态度量过程中是否是使用可信根进行数据获取;
6)应核查动态度量是否能够生成度量结果和日志记录,并是否使用可信根密码模
块对度量结果进行签名和完整性保护。
d) 单元判定:若1)~ 6)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.3 可信接入
7.2.2.3.1 测评单元
a) 测评指标:应能够基于可信根对网络连接的两端设备进行双向可信验证,可信验证
要素应包括设备身份、启动信任链状态和运行状态。其中启动信任链状态和运行状
态通过可信报告来进行体现,并能够依据可信接入策略进行网络控制并记录日志。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查是否能够依据策略在开启可信接入功能后,确保业务连接只有通过可信
接入后业务数据才能进行网络通信。
2) 应核查是否能够基于可信根验证可信报告的完整性和来源;
15
3) 应核查是否能够基于可信根验证可信报告中请求者设备的平台身份和状态(包
括启动状态和运行状态)并将验证结果形成审计记录送至可信管理中心;
4) 应核查是否能够根据请求者设备的身份和状态依据策略进行网络连接的阻断
控制,阻断连接控制可依据策略自动执行,并记录日志发至可信管理中心;
5) 应核查可信管理中心是否能够主动断开已有的可信连接;
6) 应核查在网络连接建立后是否持续检查可信状态,当检测出不可信状态时是否
能够阻断已经建立的网络连接;
7) 应核查可信接入是否是基于设备的验证,并无需应用进行修改;
8) 应核查是否能够支持点对点的可信接入验证或支持点对点加可信管理中心的
两重验证机制;
9) 应核查是否支持数据报文加密,加密密钥由动态协商生成。
d) 单元判定:若1)~ 9)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.4 可信控制
7.2.2.4.1 测评单元
a) 测评指标:依据可信度量的结果,当检测到可信性受到破坏后,按照预定义策略采
取控制措施,如操作阻断。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信机制(包括可信根和可信软件基)是否能够依据度量结果和策略,
对度量对象执行阻断调用;
2) 应核查可信机制(包括可信根和可信软件基)是否能够依据度量结果策略实现
日志记录或打印输出等。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.5 可信审计
7.2.2.5.1 测评单元
a) 测评指标:对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度量
方式、度量对象、验证结果等,并能够对可信审计记录进行加密保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信审计记录度量结果中是否包括度量时间、度量对象、度量结果;
2)应核查每一条审计记录是否包括事件发生的日期、时间、对象、事件描述和
结果等;
3)应检查是否基于可信根对可信审计记录进行加密保护。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.6 可信报告
7.2.2.6.1 测评单元
a) 测评指标:可信根依据静态度量和动态度量结果生成可信报告和可信状态,可信报
告包含设备当前的可信状态,并使用可信根中的平台身份密钥对可信报告进行签名保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查是否能够周期或由事件触发生成可信报告,可信报告应包括可信状态、
设备唯一标识、防重放标识号、生成时间;
16
2)应核查可信报告中的可信状态是否由可信根产生,且是否使用了可信根中平台
身份密钥进行签名保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.7 可信存储
a) 测评指标:提供安全隔离的内部存储空间,基于可信根对关键数据进行密封保护,
密封保护机制应支持基于口令、设备可信状态、进程身份等要素的访问策略制定。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查应能够基于可信根对用户关键数据配置操作条件;
2)应核查操作条件应包括口令、进程身份、设备可信状态;
3)应核查不符合操作条件的进程是否是不能操作关键数据。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.8 可信管理接口
7.2.2.8.1 测评单元
a) 测评指标:应能够提供可信管理接口,对可信管理中心下发的策略数据来源进行身
份验证,验证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日志和从
管理节点获取策略。。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信根是否能够验证由可信接口下发的可信策略数据来源,并且只有
验证通过后才能加载该策略。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
7.2.2.8.2 测评单元
a) 测评指标:可信管理接口应具备对接口传输数据完整性和保密性的安全保护功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的完整性
保护;
2)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的保密性
保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.8.3 测评单元
a) 测评指标:应能够通过可信管理接口向可信管理中心发送可信基准值、审计记录和
可信报告;同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基准值等信息。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否能够向管理节点发送度量结果、可信报告和审计记
录等信息;
2)应测试可信管理接口是否能够接收管理节点的策略、可信基准值等更新信息;
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
17
附录A
(资料性)
信任链建立机制参考设计
信任链是可信计算产品的一个典型功能,实现在系统启动的过程中一级度量一级,一级
信任一级,当对下一级度量验证过通过后再加载下一级执行代码。在可信计算产品设备启动
过程中主要需要设计一种机制保障可信根先于CPU 加载启动固件前进行启动工作。参考设
计如下:
当设备上电时,电源模块向主板和其他设备供电,主板上的控制芯片组会向CPU 发出
并保持一个RESET 信号,使得CPU 不会执行指令。当芯片组检测到电源已经开始稳定供电
了(PW-OK 信号),由CPLD 向可信根发出主板上电完成信号。可信根内部进行启动度量相
关配置,可信根发出SPI Switch 控制信号,由CPLD 切换SPI Switch 为可信根访问BIOS Flash,
可信根对BIOS 进行度量。度量完成之后可信根向CPLD 发出度量状态信号,通过人机交互
界面向用户进行提示。若度量成功可信根发出SPI Switch 控制信号,由CPLD 切换SPI Switch
为CPU 访问BIOS Flash,控制芯片组撤去RESET 信号,CPU 就会开始执行BIOS 指令。当
可信根检测到主机系统存在某些安全隐患时,根据策略可信根可以向CPLD 发出关机信号,
由控制芯片组向电源的PS-ON 发出电源关闭信号。
典型设计图如下:
图A.1 建立信任链机制的结构设计图
L80
中关村可信计算产业联盟团体标准
T/ZTCIA 001—2023
可信计算产品规范
Trusted computing product specification
2023 - 12 - 10 发布2023 - 12 - 12 实施
中关村可信计算产业联盟发布
目 次
前 言..................................................................... 1
1 范围....................................................................... 1
2 规范性引用文件............................................................. 1
3 术语和定义................................................................. 1
4 缩略语..................................................................... 3
5 概述....................................................................... 3
5.1 可信计算产品逻辑框架................................................... 3
5.2 等级划分............................................................... 5
5.3 可信根构建要求......................................................... 5
5.4 可信计算功能要求....................................................... 5
5.5 测试评价方法........................................................... 6
6 技术要求................................................................... 6
6.1 基本级................................................................. 6
6.1.1 可信根构建要求..................................................... 6
6.1.2 可信计算功能要求................................................... 6
6.2 增强级................................................................. 7
6.2.1 可信根构建要求..................................................... 7
6.2.2 可信计算功能要求................................................... 7
7 测评方法................................................................... 8
7.1 基本级................................................................. 8
7.1.1 可信根构建方式..................................................... 8
7.1.2 可信计算功能....................................................... 9
7.2 增强级................................................................ 11
7.2.1 可信根构建方式.................................................... 11
7.2.2 可信计算功能要求.................................................. 13
附录A ...................................................................... 17
I
前 言
本文件按照GB/T 1.1-2020给出的规则起草。
本文件由中关村可信计算产业联盟提出并归口。
本文件起草单位:
北京工业大学、中关村可信计算产业联盟、北京同创安全可信科技有限公司、天津飞腾
信息技术有限公司、海光信息技术有限公司、玄甲微电子(北京)有限责任公司、曙光信息
产业(北京)有限公司、珠海奔图电子有限公司、麒麟软件有限公司、山西百信信息技术有
限公司、宁波和利时信息安全研究院有限公司视联动力信息技术股份有限公司、北京计算机
技术及应用研究所(706)、北京天融信网络安全技术有限公司、中电科技(北京)有限公
司、江苏云涌电子科技股份有限公司、蚂蚁科技集团股份有限公司、宝德网络安全系统(深
圳)有限公司、联想(长风)科技北京有限公司、北京神州绿盟信息安全科技股份有限公司、
北京嘉华龙马科技有限公司、北京旋极安辰计算科技有限公司、北京辰光融信技术有限公司、
中诚华隆计算机技术有限公司、北京中安星云软件技术有限公司、北京天地和兴科技有限公
司。
本文件主要起草人:孙瑜、张建标、王振宇、宁振虎、洪宇、张亚光、王永刚、吴宗友
郑臣明、乐翔、楚兵、修桂林、罗奥、梅颖、刘立、余成柱、高渊、侯伟星、彭继兵、王震、
杨诏钧、张瑞珍、唐道光、方东、王艳辉、李正坤、祁春慧、安高峰、王嘉诚、于洋、孙亮、
陈小春、孙少敏、冯秀景、王伟利、李伟招、王猛、张宏、马永清、姚尧。
1
1 范围
本文件规定了不同等级可信计算产品的可信计算等级划分、不同等级的可信计算技术要
求及测试评价方法。
本文件适用于可信计算产品的可信计算功能的设计、研发与测试,并可用于安全测评服
务机构、等级保护对象的运营使用单位对可信计算产品的测评工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期
的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括
所有的修改单)适用于本文件。
GB/T 22239-2019 信息安全技术网络安全等级保护基本要求
GB/T 25069-2010 信息安全技术术语
GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求
GB/T 28448-2019 信息安全技术网络安全等级保护测评要求
GB/T 29827-2013 信息安全技术可信计算规范可信平台主板功能接口
GB/T 29829-2013 信息安全技术可信计算密码支撑平台功能与接口规范
GB/T 37935-2019 信息安全技术可信计算规范可信软件基
GB/T 38638-2020 信息安全技术可信计算可信计算体系结构
GM/T 0011-2012 可信计算可信密码支撑平台功能与接口规范
GM/T 0012-2020 可信计算可信密码模块接口规范
GM/T 0013-2012 可信计算可信密码模块符合性检测规范
GA/T XX-XXXX 信息安全技术信息安全产品安全可信要求(报批稿)
3 术语和定义
GB/T 25069-2010、GB/T 29827-2013、GB/T 29829-2013和GB/T 37935-2019界定的以及
下列术语和定义适用于本文件。
3.1
可信计算产品Trusted computing products
具备可信计算功能的各类计算机设备,包括但不限于通用PC机、通用服务器、笔记本
电脑、移动终端设备、网络安全设备、网络通信设备、工控设备、物联网设备等。
2
3.2
可信计算平台trust computing platform
构建在计算系统中,用于实现可信计算功能的支撑系统
[GM/T 0013-2012,定义3.1]
3.3
可信根root of trust
可信根是可信计算平台的信任源点,由TPCM、TCM和TSB构成。TPCM是可信平台控
制模块,负责发起可信验证、获取可信验证数据、执行可信验证中运算(非密码相关)、存
储相关策略信息、执行可信控制等。TCM是可信密码模块,为可信验证操作提供密码服务
支撑。可信根是用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存
储、密码运算等服务的功能模块。
3.4
可信平台控制模块trusted platform control module
一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算平
台提供完整性度量、安全存储、可信报告以及密码服务等功能。
[GB/T 29827-2013,定义3.20]
3.5
可信密码模块trusted cryptography module
可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
[GM/T 0012-2020,定义3.7]
3.6
可信基准值trusted baseline value
表示对象可信特性的数据,作为判断对象是否可信的参照。
[GB/T 37935-2019,定义3.5]
3.7
静态度量static measurement
在系统启动过程中,对系统完整性进行测量和评估的可信度量方法。
3
3.8
动态度量dynamic measurement
在系统运行过程中,对系统完整性和行为安全性进行测量和评估的可信度量方法。
[GB/T 37935-2019,定义3.9]
3.9
可信软件基trusted software base
为可信计算平台的可信性提供支持的软件元素的集合。
[GB/T 37935-2019,定义3.3]
3.10
可信报告trusted report
可信计算平台对外提供的状态凭据,内容包括静态度量、动态度量等验证数据,状态凭
据应由可信密码模块进行密码保护。
4 缩略语
下列缩略语适用于本文件。
TPCM 可信平台控制模块(trusted platform control module)
TSB 可信软件基(trusted software base)
TCM 可信密码模块(trusted cryptography module)
5 概述
5.1 可信计算产品逻辑框架
可信计算产品依据主动免疫可信计算双体系架构进行设计实现,由计算部件和防护部件
组成(按照GB/T 38638-2020图2可信计算节点的构成的描述),计算部件无法访问防护部件
的资源,防护部件可访问计算部件的所有资源,双方通过安全的专用通道进行交互。其中,
可信根作为一个独立于运算的防护部件,拥有隔离保障的硬件资源和主动访问运算部件资源
的接口。可信计算产品的防护部件包括可信根、启动固件层可信验证代理、操作系统层可信
验证代理、网络可信验证代理和可信管理软件五部分组成,各部分相互配合共同实现可信验
证相关功能。
从结构上,可信计算产品包括硬件资源、启动固件、操作系统和应用软件四个层次,其
中硬件资源是指构成可信计算产品的CPU、主板、内存、硬盘、网卡等硬件资源,可信根由
硬件实现,其形态跟产品硬件相关。可信计算产品中的防护部件在硬件资源中拥有独立的硬
4
件资源,在启动固件、操作系统、应用软件层面中都有可信验证代理,并且有可信管理软件
实现管理功能。
典型可信计算产品组成框架如下图所示:
图1 典型可信计算产品逻辑组成框架图
可信根是可信计算技术体系的核心,也是信任的源点。可信根具有独立、隔离的安全运
行环境,通过硬件实现,逻辑上可信根由TCM、TPCM和TSB三部分组成,典型的可信根可
以通过在CPU内部硬件实现,也可以通过板载、插卡等CPU外置的硬件方式实现。无论是
CPU内置构建的可信根还是CPU外置方式构建的可信根,其组成结构和逻辑都是一样的。可
信根能够并行获取计算节点中的度量对象信息(例如内存中的数据、I/O设备状态等),在设
备启动时有优先的启动控制实现,可信根中的可信密码模块(TCM)能够提供符合国家商
业密码要求的密码运算和密码服务。
启动固件层可信验证代理在启动固件加载操作系统的过程中,截获加载行为并采集加载
数据信息,将信息发送给可信根并等待验证结果,依据结果进行控制处理。
操作系统层可信验证代理在操作系统加载可执行代码过程中,截获加载应用程序行为并
采集加载数据信息,将信息发送给可信根并等待验证结果,依据结果进行控制处理。同时可
信验证代理对内存关键数据进行布局分析。
网络可信验证代理在网络连接建立过程中,截获网络连接请求并启动可信连接协议请求,
获取对端的可信报告,收到可信报告后将其发送给可信根进行验证,等待验证结果并依据结
果进行控制处理。
可信管理软件是软件层的管理软件,主要收集各层次可信验证代理信息,并实现可信管
理接口,从而实现与可信管理中心通信。
5
可信管理中心是对TSB和TPCM进行策略、基准值、日志统一管理的平台,为可信接入
提供仲裁服务,实现信任管理。可信管理中心通过可信计算产品实现的可信管理接口完成管
理工作,可以由本地管理工具实现,也可以通过网络由单独的硬件平台实现。
综上,可信计算产品核心功能为启动时的静态度量阶段和运行时的动态度量阶段。静态
度量阶段在可信根支撑下,对BIOS固件、操作系统引导程序、操作系统内核、重要配置参
数和应用程序启动时进行完整性度量,逐级构建信任链。静态度量从可信根到系统初始运行
的全过程,在每个环节中可信根主动度量下一个执行环节可执行部件的可信性,确认其可信
性后,将控制权交给下一个环节的执行主体。动态度量是在操作系统启动后对系统和应用程
序实施可信验证并提供可信报告的过程,即在操作系统获得控制权后,可信验证代理通过对
系统行为的监控,协同可信根获取度量对象数据、动态解析验证策略、执行可信验证、反馈
验证结果、拦截不可信行为、记录度量结果、上报可信管理中心并依据可信策略实施控制。
5.2 等级划分
可信计算产品分为基本级和增强级,可信计算功能强弱是等级划分的具体依据,等级突
出其可信功能特性。其中,基本级的可信计算功能要求对应GB/T 22239-2019二级的可信验
证相关要求,可适用于二级(包括二级)以下系统产品;增强级的可信计算功能要求对应
GB/T 22239-2019四级的可信验证相关要求,可适用于一、二、三、四级系统产品。
基本级和增强级对可信根的构建要求不同;在可信计算功能上基本级基于可信根,实现
启动阶段的可信度量;增强级基于可信根,实现启动阶段和运行阶段的可信度量。
5.3 可信根构建要求
可信根是等级保护2.0一级到四级都必需的安全部件,必须以硬件为载体,可信验证也
是等级保护2.0一级到四级都必要的检测项。可信根是可信计算平台的信任源点,由可信平
台控制模块和可信密码模块构成。TPCM负责发起和执行可信验证操作;TCM为可信验证操
作提供密码服务支撑,需要符合我国密码管理局相关要求采用我国TCM产品。在基本级中
TCM模块必须通过硬件实现,TPCM模块可以通过软件实现;在增强级中TCM模块和TPCM
模块都必须通过硬件实现。
可信根构建要求主要包括:可信根的物理形态、构建方式、可信根自身的隔离保障、可
信根在系统启动时的顺序和控制接口(包括了信任链构建顺序和启动链中信任根的起始位置)
以及可信根是否具有主动度量和主动控制接口。
5.4 可信计算功能要求
可信计算功能包括静态度量、动态度量、可信接入、可信控制、可信审计、可信报告生
成等。可信计算功能测评是对可信计算产品中是否具备可信计算功能以及其实现的情况进行
检测及测试。
测评将依据不同等级要求对每一项功能进行检测,例如静态度量和动态度量,对度量的
数据获取方式、度量的范围、度量中使用的密码运算是否为商用密码算法、密钥管理体系是
否符合TCM规范、度量的触发方式、度量的基准、度量的日志存储保护等。
6
5.5 测试评价方法
本文件针对每一个测试要求项的测评就构成一个单项测评,针对所有单向测评的具体测
评内容构成测评实施。在对每一测试要求项进行测评时,可能用核查和(或)测试两种测试
方法, 可能用到其中一种或两种。测评实施的内容主要针对GB/T 22239-2019 及
GB/T25070-2019确定的所有关于可信相关的要求,约定其要求项的测评要求,使用时应当
按照这些测评要求开发测评工具并设计测试用例,以开展对可信计算产品功能的测评活动。
6 技术要求
6.1 基本级
6.1.1 可信根构建要求
可信根产品应使用国家密码管理局认证核准的密码技术进行实现,可信验证的密码模块
功能设计应符合密码相关国家标准或行业标准要求,可信根中的密码模块需以硬件形态实现,
并实现其密码资源的隔离保障功能。
可信根应先于操作系统内核启动前运行,所有可信度量中的密码运算由可信根密码模块
完成。
6.1.2 可信计算功能要求
6.1.2.1 静态度量
产品应能够基于可信根对操作系统引导程序、操作系统内核、应用程序、动态链接库、
脚本程序等可执行代码,及重要配置参数等,在其加载前进行可信验证,并在检测到可信性
受到破坏后进行打印输出,并将验证结果通过可信管理接口发送至可信管理中心。
6.1.2.2 可信控制
产品应能够依据可信度量的结果,按照预定义策略,在检测到其可信性受到破坏时采取
控制措施,例如操作阻断。
6.1.2.3 可信审计
产品应能够对度量动作和结果生成可信审计记录,可信审计记录应包括度量时间、度量
方式、度量对象、验证结果等,并能够对可信审计记录进行完整性保护。
6.1.2.4 可信报告
产品应能够依据度量结果生成可信报告和可信状态,可信报告包含设备当前的可信状态,
并使用可信根中的平台身份密钥对可信报告进行签名保护。
6.1.2.5 可信管理接口
6.1.2.5.1 身份验证
可信根应能够提供可信管理接口,对可信管理中心下发的策略数据来源进行身份验证,
验证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日志和从管理节点
获取策略。
6.1.2.5.2 通信保护
产品可信管理接口应具备对接口传输数据完整性和保密性的安全保护功能。
7
6.1.2.5.3 管理数据传输
产品应能够通过可信管理接口向可信管理中心发送可信基准值、审计记录和可信报告;
同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基准值等信息。
6.2 增强级
6.2.1 可信根构建要求
可信根中的TPCM模块和TCM模块应以硬件形态实现,并实现其计算资源和密码资源的
隔离保障功能。可信根中TCM模块应使用国家密码管理局认证核准的密码技术进行实现,
可信验证的密码模块功能设计应符合密码相关国家标准或行业标准要求。
可信根中TPCM模块应具备主动访问计算资源接口并能够先于CPU计算核进行验证工
作,即设备的信任链起点应为可信根,可信根是设备第一个执行部件。
所有可信度量中的密码运算由可信根密码模块完成,可信度量对象数据由可信根中控制
模块获取。
6.2.2 可信计算功能要求
6.2.2.1 静态度量
产品应能够基于可信根对系统BIOS、操作系统引导程序、操作系统内核、应用程序、
动态链接库、脚本程序等可执行代码,及重要配置参数等,在其加载前进行可信验证,并在
检测到可信性受到破坏后进行日志或输出,并将验证结果通过可信管理接口发送至可信管理
中心。
6.2.2.2 动态度量
产品应能够在应用程序执行自身业务功能的重要环节,依据策略主动截获应用程序的系
统行为,包括行为相关的主体、客体、操作等信息,对其进行可信验证。
6.2.2.3 可信接入
产品应能够基于可信根对网络连接的两端设备进行双向可信验证,可信验证要素应包括
设备身份、启动信任链状态和运行状态。其中启动信任链状态和运行状态通过可信报告来进
行体现,并能够依据可信接入策略进行网络控制并记录日志。
6.2.2.4 可信控制
产品应能够依据可信度量的结果,当检测到可信性受到破坏后,按照预定义策略采取控
制措施,例如操作阻断。
6.2.2.5 可信审计
产品应能够对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度量方式、
度量对象、验证结果等。
6.2.2.6 可信报告
产品应能够依据静态度量和动态度量结果生成可信报告和可信状态,可信报告包含设备
当前的可信状态,并使用可信根中的平台身份密钥对可信报告进行签名保护
6.2.2.7 可信存储
产品可信根应能提供安全隔离的内部存储空间,基于可信根对关键数据进行密封保护,
密封保护机制应支持基于口令、设备可信状态、进程身份等要素的访问策略制定。
8
6.2.2.8 可信管理接口
6.2.2.8.1 身份验证
产品应能够提供可信管理接口,对可信管理中心下发的策略数据来源进行身份验证,验
证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日志和从管理节点获
取策略。
6.2.2.8.2 通信保护
产品可信管理接口应具备对接口传输数据完整性和保密性的安全保护功能。
6.2.2.8.3 管理数据传输
产品应能够通过可信管理接口向可信管理中心发送可信基准值、审计记录和可信报告;
同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基准值等信息。
7 测评方法
7.1 基本级
7.1.1 可信根构建方式
7.1.1.1 可信根物理形态
7.1.1.1.1 测评单元
a) 测评指标:可信根产品应使用国家密码管理局认证核准的密码技术进行实现,可
信验证的密码模块功能设计应符合密码相关国家标准或行业标准要求,可信根中
的密码模块需以硬件形态实现。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的可信密码模块是否为物理形态;
2) 应核查可信根中的可信密码模块是否具备国家密码管理局颁发的商用密码
产品认证证书,可信验证的密码模块功能设计是否符合GM/T 0011、GM/T
0012、GM/T 0013或GM/T 0058等可信计算相关标准要求,或核查商用密码
产品认证证书中产品名称/型号是否包含“可信计算密码模块”。
d) 单元判定:若1)~ 2)为肯定则符合本单元指标要求,否则为不符合。
7.1.1.2 可信根的隔离机制
7.1.1.2.1 测评单元
a) 测评指标:可信根中的密码模块需以硬件形态实现,并实现其密码资源的隔离保
障功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的密码存储资源与密码运算资源是否独立于计算部件(例如实
现计算任务的CPU或IP核);
2) 应核查主机CPU是否不能直接访问可信根内部资源。
d) 单元判定:若1)~2)为肯定则符合本单元指标要求,否则为不符合。
9
7.1.1.3 可信根启动时序
7.1.1.3.1 测评单元
a) 测评指标:可信根应先于操作系统内核启动前运行。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信根是否先于操作系统内核启动前运行。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
7.1.1.4 可信根度量
7.1.1.4.1 测评单元
a) 测评指标:所有可信度量中的密码运算由可信根密码模块完成。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是使用可信根中密码模块完成密码运算;
2)应核查可信度量的密码运算结果是否与可信根中密码模块运算结果一致。
d) 单元判定:若1)~ 2)为肯定则符合本单元指标要求,否则为不符合。
7.1.2 可信计算功能
7.1.2.1 静态度量
7.1.2.1.1 测评单元
a) 测评指标:基于可信根对操作系统引导程序、操作系统内核,及重要配置参数等,
在其加载前进行可信验证,并在检测到可信性受到破坏后进行日志或输出,并将
验证结果通过可信管理接口发送至可信管理中心。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查可信度量是否能够度量到操作系统引导程序、操作系统内核、内核模
块、初始文件系统等;
3)应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
4)应核查度量失败后是否能够进行日志记录或结果输出。
d) 单元判定:若1)~ 4)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.1.2 测评单元
a) 测评指标:基于可信根对新创建的进程进行可信验证,应对可执行程序、动态链
接库、脚本等以文件执行方式加载的可执行代码在其执行前进行可信验证,并在
检测到可信性受到破坏后进行日志记录。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是基于可信根密码模块进行度量;
2)应核查以文件执行方式的可信度量对象是否包括驱动程序、应用程序、动态链
接库、脚本程序等,具体而言可以包括例如ELF格式可执行程序,动态链接库,
内核模块;
3)应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏。
4)应核查度量验证失败后是否能够进行日志记录或输出,在可信管理中心应能够
看到度量日志或输出。
d) 单元判定:若1)~ 4)均为肯定则符合本单元指标要求,否则为不符合。
10
7.1.2.2 可信控制
7.1.2.2.1 测评单元
a) 测评指标:依据可信度量的结果,按照预定义策略,在检测到其可信性受到破坏
时采取控制措施,如操作阻断。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信机制(包括可信根和可信软件基)是否能够依据度量结果和策略,
对度量对象执行阻断调用。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
7.1.2.3 可信审计
7.1.2.3.1 测评单元
a) 测评指标:对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度
量方式、度量对象、验证结果等,并能够对可信审计记录进行完整性保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信审计记录度量结果中是否包括度量时间、度量对象、度量结果;
2)应核查每一条审计记录是否包括事件发生的日期、时间、对象、事件描述和
结果等;
3)应检查是否基于可信根对可信审计记录进行加密保护。
e) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.4 可信报告
7.1.2.4.1 测评单元
a) 测评指标:依据度量结果生成可信报告和可信状态,可信报告包含设备当前的可信
状态,并使用可信根中的平台身份密钥对可信报告进行签名保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查是否能够周期或由事件触发生成可信报告,可信报告应包括可信状态、
设备唯一标识、防重放标识号、生成时间;
2)应核查可信报告中的可信状态是否由可信根产生,且是否使用了可信根中平台
身份密钥进行签名保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.5 可信管理接口
7.1.2.5.1 测评单元
a) 测评指标:可信根应能够提供可信管理接口,对可信管理中心下发的策略数据来源
进行身份验证,验证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日
志和从管理节点获取策略。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信根是否能够验证由可信接口下发的可信策略数据来源,并且只有
验证通过后才能加载该策略。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
11
7.1.2.5.2 测评单元
a) 测评指标:可信计算功能的管理接口应具备对接口传输数据完整性和保密性的安全
保护功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的完整性
保护;
2)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的保密性
保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.1.2.5.3 测评单元
a) 测评指标:可信计算功能应能够通过可信管理接口向可信管理中心发送可信基准值、
审计记录和可信报告;同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基
准值等信息。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否能够向管理节点发送度量结果、可信报告和审计记
录等信息;
2)应测试可信管理接口是否能够接收管理节点的策略、可信基准值等更新信息;
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2 增强级
7.2.1 可信根构建方式
7.2.1.1 可信根物理形态
7.2.1.1.1 测评单元
a) 测评指标:可信根中的TPCM模块和TCM模块应以硬件形态实现,可信根中TCM
模块应使用国家密码管理局认证核准的密码技术进行实现,可信验证的密码模块
功能设计应符合密码相关国家标准或行业标准要求。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的TPCM模块是否为物理形态,即为CPU-IP核、CPU内部安
全芯片、主板上板载芯片、总线接入芯片中的一种;
2) 应核查可信根中的可信密码模块是否为物理形态;
3) 应核查可信根中的可信密码模块是否具备国家密码管理局颁发的商用密码
产品认证证书,可信验证的密码模块功能设计是否符合GM/T 0011、GM/T
0012、GM/T 0013或GM/T 0058等可信计算相关标准要求,或核查商用密码
产品认证证书中产品名称/型号是否包含“可信计算密码模块”。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
12
7.2.1.2 可信根的隔离机制
7.2.1.2.1 测评单元
a) 测评指标:可信根中的TPCM模块和TCM模块应以硬件形态实现,并实现其计算
资源和密码资源的隔离保障功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根中的密码存储资源、密码运算资源、通用计算资源、通用存储资
源(包括内存和非易失性存储)是否独立于计算部件(例如实现计算任务的
CPU或IP核);
2) 应核查主机CPU是否不能直接访问可信根内部任何资源;
3) 应核查可信根是否可以对内部存储资源进行管理,是否可以存储用户密钥和关
键数据。
d) 单元判定:若1)~3)为肯定则符合本单元指标要求,否则为不符合。
7.2.1.3 可信根启动时序
7.2.1.3.1 测评单元
a) 测评指标:可信根中TPCM模块应具备主动访问计算资源接口并能够先于CPU计算
核进行验证工作,即设备的信任链起点应为可信根,可信根是设备第一个执行部
件。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信根在上电开机后是否能够先于计算处理器执行固件(例如BIOS)前
执行;
2) 应核查可信根是否能够主动获取计算处理器执行的固件存储资源;
3) 应核查启动链中各环节是否能够全部通过可信度量,即是否能够建立完整的信
任链,典型信任链环节包括基础固件、操作系统引导程序、操作系统内核、应
用程序以及启动过程中重要配置文件,篡改其中部分内容后可信根是否能够度
量出被篡改的对象,并进行记录日志或打印输出;
4)应核查可信根在检测出不可信时是否能够依据策略阻断启动。
d) 单元判定:若1)~ 4)均为肯定则符合本单元指标要求,否则为不符合。
7.2.1.4 可信根主动度量
7.2.1.4.1 测评单元
a) 测评指标:所有可信度量中的密码运算由可信根密码模块完成,可信度量对象数
据由可信根获取。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信度量过程中是否是使用可信根中密码模块完成密码运算;
2)应核查可信度量的密码运算结果是否与可信根中密码模块运算结果一致;
3)应核查可信根是否能够主动获取主机资源(例如内存资源)。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
13
7.2.2 可信计算功能要求
7.2.2.1 静态度量
7.2.2.1.1 测评单元
a) 测评指标:基于可信根对系统BIOS在其加载前进行可信度量,并在检测到可信性
受到破坏后进行日志记录或结果输出。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块(TCM)进行度量;
2) 应核查可信度量是否能够度量到BIOS的执行程序程序文件;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内部存
储资源或用可信根中密码模块进行基于密码的完整性保护;
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
5) 应核查度量失败后是否能够进行日志记录或结果输出。
d) 单元判定:若1)~ 5)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.1.2 测评单元
a) 测评指标:基于可信根对操作系统引导程序、操作系统内核等,在其加载前进行
可信验证,并在检测到可信性受到破坏后进行日志或打印输出。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查可信度量是否能够度量操作系统引导程序、操作系统内核、内核模块、
初始文件系统等;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内部存
储资源或用可信根中密码模块进行基于密码的完整性保护
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
5) 应核查度量失败后是否能够进行日志记录或结果输出。
d) 单元判定:若1)~5)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.1.3 测评单元
a) 测评指标:基于可信根对新创建的进程进行可信验证,应对可执行程序、动态链
接库、脚本等以文件执行方式加载的可执行代码在其执行前进行可信验证,并在
检测到可信性受到破坏后进行日志记录。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查以文件执行方式的可信度量对象是否包括驱动程序、应用程序、动
态链接库、脚本程序等,具体而言可以包括例如ELF格式可执行程序,动
态链接库,内核模块;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内
部存储资源或用可信根中密码模块进行基于密码的完整性保护;
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;
5) 应核查度量失败后是否能够进行日志记录,在可信管理中心是否能够看到
度量日志。
e) 单元判定:若1)~ 5)均为肯定则符合本单元指标要求,否则为不符合。
14
7.2.2.1.4 测评单元
a) 测评指标:基于可信根应对关键的数据文件在业务进程对其读取加载前进行可信
验证,并在检测到可信性受到破坏后拒接其加载,并将日志上传管理中心。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;
2) 应核查以文件读取方式加载的度量对象是否包括关键配置文件,具体而言
应包括例如应用程序配置文件形如*.conf 、*.cfg等文件;
3) 应核查可信基准值是否进行完整性保护,可信基准值是否存储于可信根内
部存储资源或用可信根中密码模块进行基于密码的完整性保护;
4) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏并
拒绝其加载;
5) 应核查度量失败后是否能够进行日志记录,在可信管理中心是否能够看到
该记录。
f) 单元判定:若1)~ 5)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.2 动态度量
7.2.2.2.1 测评单元
a) 测评指标:基于可信根在应用程序执行自身业务功能的重要环节,依据策略主动截
获应用程序的系统行为,包括行为相关的主体、客体、操作等信息,对其进行可信
验证。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查动态度量机制是否可以通过策略配置在指定执行环节进行可信度量,执
行环节度量是否包括系统调用;
2)应核查动态度量是否能够对系统调用表,中断描述符,内核代码段,进程代码
段(包括加载的动态库)、可加载内核模块代码段,文件系统关键操作函数,
网络地址族/协议族关键数据进行可信度量;
3)应核查动态度量机制是否能够支持定时和触发两种触发机制;
4)应核查动态度量过程中是否是使用可信根进行密码运算;
5)应核查动态度量过程中是否是使用可信根进行数据获取;
6)应核查动态度量是否能够生成度量结果和日志记录,并是否使用可信根密码模
块对度量结果进行签名和完整性保护。
d) 单元判定:若1)~ 6)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.3 可信接入
7.2.2.3.1 测评单元
a) 测评指标:应能够基于可信根对网络连接的两端设备进行双向可信验证,可信验证
要素应包括设备身份、启动信任链状态和运行状态。其中启动信任链状态和运行状
态通过可信报告来进行体现,并能够依据可信接入策略进行网络控制并记录日志。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查是否能够依据策略在开启可信接入功能后,确保业务连接只有通过可信
接入后业务数据才能进行网络通信。
2) 应核查是否能够基于可信根验证可信报告的完整性和来源;
15
3) 应核查是否能够基于可信根验证可信报告中请求者设备的平台身份和状态(包
括启动状态和运行状态)并将验证结果形成审计记录送至可信管理中心;
4) 应核查是否能够根据请求者设备的身份和状态依据策略进行网络连接的阻断
控制,阻断连接控制可依据策略自动执行,并记录日志发至可信管理中心;
5) 应核查可信管理中心是否能够主动断开已有的可信连接;
6) 应核查在网络连接建立后是否持续检查可信状态,当检测出不可信状态时是否
能够阻断已经建立的网络连接;
7) 应核查可信接入是否是基于设备的验证,并无需应用进行修改;
8) 应核查是否能够支持点对点的可信接入验证或支持点对点加可信管理中心的
两重验证机制;
9) 应核查是否支持数据报文加密,加密密钥由动态协商生成。
d) 单元判定:若1)~ 9)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.4 可信控制
7.2.2.4.1 测评单元
a) 测评指标:依据可信度量的结果,当检测到可信性受到破坏后,按照预定义策略采
取控制措施,如操作阻断。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1) 应核查可信机制(包括可信根和可信软件基)是否能够依据度量结果和策略,
对度量对象执行阻断调用;
2) 应核查可信机制(包括可信根和可信软件基)是否能够依据度量结果策略实现
日志记录或打印输出等。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.5 可信审计
7.2.2.5.1 测评单元
a) 测评指标:对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度量
方式、度量对象、验证结果等,并能够对可信审计记录进行加密保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查可信审计记录度量结果中是否包括度量时间、度量对象、度量结果;
2)应核查每一条审计记录是否包括事件发生的日期、时间、对象、事件描述和
结果等;
3)应检查是否基于可信根对可信审计记录进行加密保护。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.6 可信报告
7.2.2.6.1 测评单元
a) 测评指标:可信根依据静态度量和动态度量结果生成可信报告和可信状态,可信报
告包含设备当前的可信状态,并使用可信根中的平台身份密钥对可信报告进行签名保护。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查是否能够周期或由事件触发生成可信报告,可信报告应包括可信状态、
设备唯一标识、防重放标识号、生成时间;
16
2)应核查可信报告中的可信状态是否由可信根产生,且是否使用了可信根中平台
身份密钥进行签名保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.7 可信存储
a) 测评指标:提供安全隔离的内部存储空间,基于可信根对关键数据进行密封保护,
密封保护机制应支持基于口令、设备可信状态、进程身份等要素的访问策略制定。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应核查应能够基于可信根对用户关键数据配置操作条件;
2)应核查操作条件应包括口令、进程身份、设备可信状态;
3)应核查不符合操作条件的进程是否是不能操作关键数据。
d) 单元判定:若1)~ 3)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.8 可信管理接口
7.2.2.8.1 测评单元
a) 测评指标:应能够提供可信管理接口,对可信管理中心下发的策略数据来源进行身
份验证,验证成功后才能接收来自可信管理中心的策略数据,实现向管理节点上传日志和从
管理节点获取策略。。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信根是否能够验证由可信接口下发的可信策略数据来源,并且只有
验证通过后才能加载该策略。
d) 单元判定:若1)为肯定则符合本单元指标要求,否则为不符合。
7.2.2.8.2 测评单元
a) 测评指标:可信管理接口应具备对接口传输数据完整性和保密性的安全保护功能。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的完整性
保护;
2)应测试可信管理接口是否支持采用密码技术实现接口之间交互数据的保密性
保护。
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
7.2.2.8.3 测评单元
a) 测评指标:应能够通过可信管理接口向可信管理中心发送可信基准值、审计记录和
可信报告;同时可以从可信管理接口接收来自可信管理中心的可信策略、可信基准值等信息。
b) 测评对象:提供可信验证的设备及组件。
c) 测评实施包括以下内容:
1)应测试可信管理接口是否能够向管理节点发送度量结果、可信报告和审计记
录等信息;
2)应测试可信管理接口是否能够接收管理节点的策略、可信基准值等更新信息;
d) 单元判定:若1)~ 2)均为肯定则符合本单元指标要求,否则为不符合。
17
附录A
(资料性)
信任链建立机制参考设计
信任链是可信计算产品的一个典型功能,实现在系统启动的过程中一级度量一级,一级
信任一级,当对下一级度量验证过通过后再加载下一级执行代码。在可信计算产品设备启动
过程中主要需要设计一种机制保障可信根先于CPU 加载启动固件前进行启动工作。参考设
计如下:
当设备上电时,电源模块向主板和其他设备供电,主板上的控制芯片组会向CPU 发出
并保持一个RESET 信号,使得CPU 不会执行指令。当芯片组检测到电源已经开始稳定供电
了(PW-OK 信号),由CPLD 向可信根发出主板上电完成信号。可信根内部进行启动度量相
关配置,可信根发出SPI Switch 控制信号,由CPLD 切换SPI Switch 为可信根访问BIOS Flash,
可信根对BIOS 进行度量。度量完成之后可信根向CPLD 发出度量状态信号,通过人机交互
界面向用户进行提示。若度量成功可信根发出SPI Switch 控制信号,由CPLD 切换SPI Switch
为CPU 访问BIOS Flash,控制芯片组撤去RESET 信号,CPU 就会开始执行BIOS 指令。当
可信根检测到主机系统存在某些安全隐患时,根据策略可信根可以向CPLD 发出关机信号,
由控制芯片组向电源的PS-ON 发出电源关闭信号。
典型设计图如下:
图A.1 建立信任链机制的结构设计图
相关资料
- T/ACEF 216-2025 燃煤锅炉尿素脱硝优化控制系统技术导则
- T/QGCML 4997-2025 提锆尾渣中铀含量的电感耦合等离子体质谱法测定
- T/GSWS 020-2025 油橄榄采收储运卫生规范
- T/GSWS 019-2025 文冠果叶发酵茶
- T/GSWS 018-2025 甘肃花椒
- T/GSWS 017-2025 文冠果实生容器苗培育技术规程
- T/GSWS 016-2025 文冠果粕饲用技术规程 肉羊
- T/GSWS 015-2025 饲料原料 文冠果粕
- T/DGGC 26-2024 盾构法隧道施工调查技术要求
- T/CGCPU 031-2025 疫苗临床试验电子源数据系统技术要求与应用规范