GB/T 29828-2013信息安全技术可信计算规范可信连接架构

ICS35040

L80.

中华人民共和国国家标准

GB/T29828—2013

信息安全技术可信计算规范

可信连接架构

Informationsecuritytechnology—Trustedcomputingspecification—

Trustedconnectarchitecture

2013-11-12发布2014-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T29828—2013

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………2

缩略语

4……………………3

总体描述

5…………………5

概述

5.1…………………5

实体

5.2…………………6

层次

5.3…………………6

组件

5.4…………………6

接口

5.5…………………7

实现过程

5.6……………8

评估隔离和修补

5.7、……………………9

网络访问控制层

6…………………………11

概述

6.1…………………11

网络传输机制

6.2………………………11

访问控制机制

6.3………………………51

可信平台评估层

7…………………………52

概述

7.1…………………52

平台鉴别基础设施

7.2…………………53

完整性度量层

8…………………………115

概述

8.1………………115

消息协议

8.2IF-IM…………………115

和

9IF-IMCIF-IMV……………………120

概述

9.1………………120

9.2IF-IMC……………120

9.3IF-IMV……………129

附录资料性附录完整性管理框架

A()………………134

附录资料性附录安全策略管理框架

B()……………136

附录资料性附录数字信封

C()………………………138

图可信连接架构

1(TCA)…………………5

图的实现过程

2TCA……………………8

图具有隔离修补层的可信连接架构

3…………………10

Ⅰ

GB/T29828—2013

图的序列鉴别实现一的层次模型

4TCATAEP………12

图序列鉴别实现一的交互过程

5TAEPTAEP………14

图的序列鉴别实现二的层次模型

6TCATAEP………15

图序列鉴别实现二的交互过程一

7TAEPTAEP……………………18

图序列鉴别实现二的交互过程二

8TAEPTAEP……………………19

图

9FLAG………………21

图协议的证书鉴别过程

10EWAI………………………21

图消息的数据字段格式

111……………22

图消息的数据字段格式

122……………22

图消息的数据字段格式

133……………23

图消息的数据字段格式

144……………24

图消息的数据字段格式

155……………27

图消息的数据字段格式

166……………30

图消息的数据字段格式

177……………33

图消息的数据字段格式

188……………36

图消息的数据字段格式

199……………36

图的隧道鉴别方式层次模型

20TCATAEP…………38

图隧道鉴别实现的交互过程一

21TAEPTAEP……………………41

图隧道鉴别实现的交互过程二

22TAEPTAEP……………………42

图协议的握手协议分组格式

23ETLS…………………43

图协议的握手过程

24ETLS……………44

图消息的数据字段格式

251……………44

图

26FLAG………………45

图消息的数据字段格式

272……………46

图消息的数据字段格式

283……………48

图消息的数据字段格式

294……………49

图全端口控制实现方式下的端口控制系统结构

30……………………52

图协议基本流程

31PAI…………………54

图协议分组格式

32PAI…………………56

图标识格式

33FLAG…………………57

图组件类型级平台完整性度量请求参数

34……………58

图组件属性级平台完整性度量请求参数条目

35………58

图组件类型级平台完整性评估策略条目

36……………59

图组件产品级平台完整性评估策略条目

37……………59

图组件属性级平台完整性评估策略条目

38……………60

图组件类型级平台完整性度量值条目

39………………60

图级平台完整性度量值条目

40IF-IM…………………61

图组件类型级数据值条目

41Quote……………………61

图级数据值条目

42IF-IMQuote………………………61

图组件类型级平台配置保护策略条目

43………………62

图组件产品级平台配置保护策略条目

44………………62

图组件属性级平台配置保护策略条目

45………………63

图组件类型级平台修补信息条目

46……………………63

Ⅱ

GB/T29828—2013

图级平台修补信息条目

47IF-IM………………………63

图组件类型级错误原因信息条目

48……………………64

图组件产品级错误原因信息条目

49……………………64

图组件属性级错误原因信息条目

50……………………65

图类型长度值的格式

51--(TLV)………………………65

图签名属性

52……………66

图平台完整性度量请求参数

53…………67

图平台完整性评估策略

54………………67

图平台完整性度量值

55…………………68

图数据值

56Quote………………………68

图平台配置保护策略

57…………………69

图证书验证和平台完整性评估结果

58PIK……………69

图平台修补信息

59………………………71

图错误原因信息

60………………………71

图汇聚平台完整性评估策略

61…………71

图消息的数据字段格式

621……………72

图消息的数据字段格式

632……………76

图消息的数据字段格式

643……………79

图协议中生成组件产品级平台完整性评估结果及其他参数的具体过程

65PAI-1IMV…………82

图协议中生成组件类型级平台完整性评估结果及其他参数的具体过程

66PAI-1EPS……………84

图协议中生成的平台完整性评估结果及其他参数的具体过程

67PAI-1EPSAR…85

图消息的数据字段格式

684……………86

图消息的数据字段格式

695……………90

图消息的数据字段格式

706……………93

图消息的数据字段格式

711……………94

图消息的数据字段格式

722……………98

图消息的数据字段格式

733…………101

图协议中生成组件产品级平台完整性评估结果及其他参数的具体过程

74PAI-2IMV…………104

图协议中生成组件类型级平台完整性评估结果及其他参数的具体过程

75PAI-2EPS…………106

图协议中生成的平台完整性评估结果及其他参数的具体过程

76PAI-2EPSAR………………107

图消息的数据字段格式

774…………108

图消息的数据字段格式

785…………111

图消息的数据字段格式

796…………114

图消息的格式

80IF-IM………………116

图属性的格式

81IF-IM………………116

图产品信息的属性值

82IF-IM………………………117

图数字版本的属性值

83IF-IM………………………118

图字符串版本的属性值

84IF-IM……………………118

图操作状态的属性值

85IF-IM………………………118

图平台修补信息的属性值

86IF-IM…………………119

图基于的修补指示

87URI……………119

图错误信息

88IF-IM…………………120

图中的交互示意图

89ARIF-IMC……………………125

Ⅲ

GB/T29828—2013

图中的交互示意图

90ACIF-IMC……………………129

图交互示意图

91IF-IMV………………133

图完整性管理框架

A.1…………………134

图安全策略管理框架

B.1………………136

图数字信封的生成和解开

C.1…………138

表平台完整性评估结果的或运算规则

1………………86

表平台完整性评估结果的与运算规则

2………………86

表本标准定义的组件类型

3……………115

表本标准定义的属性类型

4IF-IM……………………117

表的功能函数结果状态码

5IF-IMC…………………120

表网络连接状态值

6……………………121

表执行下一个平台鉴别过程的原因值

7………………121

表的功能函数结果状态码

8IF-IMV…………………130

Ⅳ

GB/T29828—2013

前言

本标准按照的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准主要起草单位北京工业大学西安西电捷通无线网络通信股份有限公司瑞达信息安全产

:、、

业股份有限公司西安电子科技大学北京理工大学武汉大学北京天融信科技有限公司北京电子科

、、、、、

技学院北京金奥博数码信息技术有限责任公司中国电子科技集团公司第三十研究所国家无线电监

、、、

测中心北京网贝合创科技有限公司中国航天科工集团二院七六所郑州信大捷安信息技术有限公

、、O、

司上海格尔软件股份有限公司西安邮电大学江南计算机技术研究所国家广播电影电视总局广播科

、、、、

学研究院中国电子技术标准化研究院华为技术有限公司深圳长城电脑有限公司中安科技集团有限

、、、、

公司长春吉大正元信息技术股份有限公司北京鼎普科技股份有限公司成都卫士通信息产业股份有

、、、

限公司北京密安网络技术股份有限公司中国电力科学研究院无线网络安全技术国家工程实验室

、、、。

本标准主要起草人沈昌祥肖跃雷曹军张立强张兴韩永飞方娟李海鹏黄振海陈曦

:、、、、、、、、、、

祝烈煌李兆斌刘彤冷冰宋起柱陈志浩张焕国秦志强段丽娟李晖张龙铁满霞赖晓龙

、、、、、、、、、、、、、

常超稳谭武征韩勇桥刘智君姚琦裴庆祺张子剑葛莉鞠磊赵桂芳朱林朱志祥蒋炎河王磊

、、、、、、、、、、、、、、

邹冰玉赖英旭马卓张变玲杜志强胡亚楠刘卫国池亚平吴素研苑克龙王晓程于昇李兴华

、、、、、、、、、、、、、

王轲张国强李琴刘贤刚位继伟尹瀚秦晰魏占祯李瑛刘了梁晋春公备邵存金李大东

、、、、、、、、、、、、、、

何长龙万俊贾科张世雄王明坤高昆仑许胜伟姚金利王勇侯亚荣任兴田杨宇光赵国磊

、、、、、、、、、、、、、

韩培胜曹慧渊郭沛宇郎风华

、、、。

Ⅴ

GB/T29828—2013

引言

随着信息化的逐渐发展网络安全面临严峻的考验各种计算机网络遭受的攻击和破坏是来

,,80%

自于内部目前业内的安全解决方案往往侧重于先防外后防内先防服务设施后防终端设施而可信

。,。

计算技术则逆其道而行之首先保证所有终端的可信赖性通过可信赖的组件来组建更大的可信系统

,,。

可信计算平台在底层进行防护通过可信硬件对上层进行保护为用户提供更强的安全防护可信网络

,,。

连接本质上包含两个方面的内容第一方面需要创建一套在网络内部系统运行状况的策略第二方面

:;,

只有遵守网络设定的策略的终端才能访问网络网络将隔离和定位那些不遵守策略的设备

,。

本标准的主要目标是提出一个实现终端连接到网络的双向用户身份鉴别和平台鉴别进而实现可

,

信网络连接的可信连接架构并定义其层次实体组件接口实现流程评估隔离和修补以及各个接

,、、、、、、

口的具体实现

。

本标准主要内容是

:

可信连接架构实现终端连接到网络的双向用户身份鉴别和平台鉴别

———,。

定义可信连接架构中各个接口的具体实现

———。

本标准的使用者是可信计算的生产企业检测机构和科研机构

、。

本标准的发布机构提请注意声明符合本标准时可能涉及第章与一种基于三元对等鉴别的可

,,5“

信网络连接方法一种基于三元对等鉴别的可信网络连接系统等相关的专利的使用

”、“”。

本标准的发布机构对于该专利的真实性有效性和范围无任何立场

、。

该专利持有人已向本标准的发布机构保证他愿意同任何申请人在合理且无歧视的条款和条件下

,,

就专利授权许可进行谈判该专利持有人的声明已在本标准发布机构备案相关信息可通过以下联系

。。

方式获得

:

专利权人西安西电捷通无线网络通信股份有限公司

:

地址西安市高新区科技二路号西安软件园秦风阁

:68A201

联系人刘长春

:

邮政编码

:710075

电子邮件

:ipri@

电话

/p>

传真

/p>

网址

:

请注意除了上述专利外本标准的某些内容仍可能涉及专利本标准的发布机构不承担识别这些

,。

专利的责任

。

Ⅵ

GB/T29828—2013

信息安全技术可信计算规范

可信连接架构

1范围

本标准规定了可信连接架构的层次实体组件接口实现流程评估隔离和修补以及各个接口的

、、、、、、

具体实现解决终端连接到网络的双向用户身份鉴别和平台鉴别问题实现终端连接到网络的可信网络

,,

连接

。

本标准适用于具有可信平台控制模块的终端与网络的可信网络连接

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术系统间远程通信和信息交换局域网和城域网特定要求第

GB15629.11—200311

部分无线局域网媒体访问控制和物理层规范