《中电联标准电力可信计算体系结构》

ICS

T/CEC

中电力企业联合会团体标准

T/CECXXXXX—XXXX

电力可信计算体系结构

ElectricPowerArchitectureofTrustedComputing

(征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中国电力企业联合会发布

I

电力可信计算体系结构

1范围

本标准规定了电力可信计算的体系结构、可信计算部件构成、可信计算度量模式及电力可信计算部

件部件的专用要求，适用于电力可信计算体系的设计、开发和应用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T29827—2013信息安全技术可信计算规范可信平台主板功能接口

GB/T36639—2018信息安全技术可信计算规范服务器可信支撑平台

GB/T37935—2019信息安全技术可信计算规范可信软件基

3术语和定义

GB/T29827—2013、GB/T29828—2013、GB/T29829—2013和GB/T36639—2018、GB/T37935-2019

界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T29827—2013、GB/T

29829—2013、GB/T37935-2019中的术语和定义。

3.1

可信计算节点trustedcomputingnode

由可信部件和计算部件共同构成、具备计算和防护并行特征的计算节点。

3.2

可信平台控制模块trustedplatformcontrolmodule

用于建立和保障信任源点的硬件模块，为可信计算提供完整性度量、安全存储、可信报告及密码运

算等功能。

[GB/T29827—2013，定义3.20]

3.3

可信软件基trustedsoftwarebase

为可信计算平台的可信性提供支持的软件元素的集合。

[GB/T37935-2019，定义3.3]

3.4

1

信任链trustedchain

在计算节点启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。

[GB/T29829—2013，定义3.1.13]

4缩略语

下列缩略语适用于本文件。

BIOS：基本输入输出系统（BasicInputOutputSystem）

CRTM：核心可信度量根（CoreRootofTrustforMeasurement）

TPCM：可信平台控制模块（TrustedPlatformControlModule）

TSB：可信软件基（TrustedSoftwareBase）

5电力可信计算体系结构

可信计算是指计算的同时进行安全防护，计算全程可测可控，不被干扰，使计算结果总是与预期一

致。电力可信计算体系结构由电力可信计算节点及其间的可信连接构成，为其所在的网络环境提供相应

等级的安全保障，如图1所示。依据网络环境中节点的功能，电力可信计算节点可根据其所处业务环境

部署不同功能的应用程序，电力可信计算节点包括可信计算节点（服务）和可信计算节点（终端），不

同类型的电力可信计算节点采用相同的组成结构。不同类型的电力可信节点可独立或相互间通过可信连

接构成可信计算体系，其中可信计算节点（管理服务）为实现对其所在网络内各类可信计算节点进行集

中管理的一种特殊的可信计算节点（服务）。

图1电力可信计算体系结构

电力可信计算节点由可信部件和计算部件组成。计算部件为程序提供计算、存储和网络资源，主要

包括通用硬件和固件、操作系统及中间件、应用程序和网络等部分构成。可信部件主要对计算部件进行

度量和监控，其中监控功能依据不同的完整性度量模式为可选功能，可信部件同时提供密码算法、平台

身份可信、平台数据安全保护等可信计算功能调用的支撑。电力可信计算节点中的计算系统部件和可信

部件逻辑相互独立，形成具备计算功能和防护功能并存的双体系结构，如图2所示。

2

图2可信计算节点的构成

6电力可信计算部件构成

6.1可信平台控制模块

TPCM应具备主动度量和控制功能。TPCM应是一个逻辑独立或者物理独立的实体，可采用独立的模块

或物理封装、通过IP核或固件方式与可信芯片集成、虚拟化实现实体等形式。

6.2可信软件基

TSB实现对运行于宿主基础软件中应用程序的监控和度量。TSB组成结构及功能接口应符合GB/T

37935-2019。

7电力可信计算度量模式

电力可信计算体系架构的度量模式如图3所示，参与部件应包括TPCM和TSB。在硬件及固件层，TPCM

应为可信计算节点中第一个运行的部件，作为可信计算节点的信任根，应用国产商用密码算法和完整性

度量功能对宿主基础软件等计算部件主动发起完整性度量操作，并依据度量结果进行主动裁决和控制。

在宿主基础软件及中间件层，TPCM向上层提供使用TPCM基础资源的支撑，TSB通过调用TPCM的相关接口

对应用软件进行主动监控和主动度量，对应用软件完全透明，保证应用软件启动时和运行中的可信。可

信计算节点在接入网络时，对于支持可信连接的网络部署，可信连接调用TSB和TPCM提供的完整性度量

结果，进行相应操作。

3

图3可信度量模式示意图

8电力可信平台控制模块专用要求

8.1功能

电力TPCM应根据服务侧和终端侧的不同，采用不同的技术形态实现。在服务侧，面向服务器等

通用平台架构，采用不改造通用平台环境的PCI-E等通用接口的密码硬件支撑；在终端侧，面向嵌入式

定制化平台架构，采用彻底的硬件融合改造方案进行基础支撑。

a)服务侧TPCM：支持国产商用密码算法SM1或SM4进行数据加解密，SM3进行可信完整性度量，

SM2进行版本管理、通信协商和身份认证；支持CPU实模式技术在操作系统引导阶段提供密码

算法和存储接口完成对系统引导程序的可信验证。

b)终端侧TPCM：支持国产商用密码算法SM4进行数据加解密，SM3进行可信完整性度量，SM2进

行版本管理、通信协商和身份认证；支持对终端CPU电源的复位控制，支持对Boot和系统内

核的主动度量、主动控制和主动恢复。

8.2性能

电力TPCM的算法性能要求如下：

a)服务侧TPCM的可信度量核心算法SM3性能不低于1Gbps；

b)终端侧TPCM的可信度量核心算法SM3性能不低于50Mbps。

8.3接口

电力TPCM的通信接口要求如下：

a)服务侧TPCM支持PCI-E等通用通信接口；

b)终端侧TPCM支持SPI等专用可信通信接口。

4

8.4管理

电力TPCM的管理要求如下：

a)服务侧TPCM支持通过TSB的可信支撑机制进行内核通信和管理；

b)终端侧TPCM通过专用配置工具进行基准值等核心数据的更新和管理。

9电力可信软件基专用要求

9.1功能

电力TSB运行于操作系统内核层，应具有完整性校验、完整性度量、完整性保护、可信版本管理、

强制访问控制、关键配置核查、平台自保护、可信审计、业务程序管理等功能。

c)完整性校验：可信软件基对可执行程序度量值的判定，完成完整性校验；

d)完整性度量：可信软件基在系统和应用启动时进行完整性度量，未通过度量程序无法启动；

e)完整性保护：可信软件基对系统和应用进行完整性度量和保护，受保护对象无法被篡改；

f)可信版本管理：在不改变现有运维流程的基础上实现对业务程序研发安全管控，实现对程序来

源可信性、过检和现场应用版本一致性的保证；

g)强制访问控制：构建适用于电力业务的强制访问控制模型，支撑业务域控制和跨域访问机制；

h)平台自保护：可信软件基对自身进行完整性度量和保护，无法被未授权的停用、卸载等旁路；

i)可信审计：可信软件基对违反完整性度量、保护策略的操作进行审计，记录审计信息并告警。

9.2性能

c)TSB对待执行的系统程序进行主动度量，度量应对单个程序启动时间延迟小于5%；

d)TSB运行时占用系统CPU及内存空间小于10%，对系统资源占用影响较小。

9.3接口

TSB应具有对软件完整性校验值的更新接口，全部可执行程序的增加和