信息安全技术 安全处理器技术要求-编制说明

4/6PAGE1工作简况根据国家标准化管理委员会2014年下达的国家标准制订计划：《信息安全技术安全处理器技术规范》（国标计划号：20152006-T-469），该标准由北京多思科技工业园股份有限公司负责承办。该标准由全国信息安全标准化技术委员会归口管理。标准编制单位由北京多思科技工业园股份有限公司作为承担单位，中国信息安全测评中心、国家密码管理局商用密码检测中心、华北电力大学、公安部第三研究所、中国电子信息产业发展研究院、杭州华澜微电子股份有限公司等作为参与单位。目的意义信息化的极速发展使信息安全问题日趋显著。为了适用网络安全、大数据、人工智能的未来发展需要，从安全角度考虑，“安全在片”设计是解决安全问题的有效途径，是伴随信息化发展解决安全问题的趋势。制定安全处理器标准，使其作为安全产品的核心部件，并规范和要求安全处理器具有更强的安全保护和安全功能服务能力是本标准制定的目的。《安全处理器技术规范》具有很好地规范和引领作用，可以在产品的开发和测评方面指导产品设计与测评。实现行业内安全处理器产品的统一，确保产品有严格的、可控制的、规范的安全特性，提升我国安全处理器产品应用的总体安全水平。标准编制原则本标准结合我国现有政策、法规与标准，以“参照国际、立足国情、服务应用、开放合作、严谨科学”为基本原则，以核心技术为基础，从保护资产，结构模型，安全目的出发，构建安全处理器技术规范内容。主要工作过程2014年12月-2015年4月，多思公司受中央网信办网络安全协调局委托承担了此标准的制定工作，成立了“安全处理器专项工作小组”，在之前标准研究课题的基础上，进一步调研整理思路；2015年6月11日，工作组召开了第一次会议。在该次会议上，工作组成员讨论了本规范的编制目的、意义和原则，制定了工作计划并做了任务分工；2015年9月11日，工作组召开了第二次会议。成员单位就各自的研究情况作了汇报。工作组在此基础上明确了规范的定义范围，讨论并确定了整体思路，并对下一阶段工作进行了安排；2016年2月17日，工作组召开了第三次会议，对功能要求进行了充分论证，对文档框架进行了完善，形成了安全处理器技术规范草案；2016年6月11日，征求专家意见；2016年7月-9月，工作组针对专家意见进行讨论修改标准草案；2016年10月25日，工作组召开了第四次会议，根据修改后的标准草案进行讨论，进一步完善标准草案；2017年3月-2017年7月，多次邀请相关专家对本标准草案进行征求意见，并针对专家意见和建议进行集中讨论和修改；2017年9月25日，工作组召开了第五次会议，根据专家征求意见表修改相关内容完善标准草案；2018年3月，工作组召开了第六次会议，讨论标准内容及编制说明，汇总意见处理表；2018年4月，工作组在武汉参加TC260会议并在WG5工作组做了标准草案汇报，通过投票获得多数专家的同意，进入征求意见稿阶段；2018年5月-2018年9月，工作组根据WG5武汉会议专家提出的意见，汇总意见处理表，细化标准内容；2018年10月16日，WG5工作组在北京召开了国家标准《信息安全技术安全处理器技术规范》组内专家评审会，与会专家包括崔书昆、顾健、李斌、李娜、郭晓蕾、许玉娜、钟力。2018年11月-12月，标准工作组成员针对专家意见进行沟通交流确定修改思路，针对文本参与单位各自仔细研究，分别进行了通稿修改；2018年12月19日，与国家密码管理局相关领导进行沟通讨论标准文本关于密码部分修改完善；2019年1月-2月，征求厂商意见，例如，上海兆芯集成电路有限公司，针对标准文本征求意见并进行了回复：“看起来这个安全处理器规范面向的是未来的，完全为了安全目的而设计的处理器，并不是针对通用处理器的安全功能，这些安全处理器的结构设计上就和一般的通用处理器不一样。感觉这类处理器范围比较适用一些自定义的可重构的专用处理器结构。由于规范需要的意见是在目前定义的安全处理器结构和功能的框架下，是否有实现上的困难，而我们短期内并不准备去实现类似的安全处理器结构和功能，所以我们目前对规范没有意见。”2019年3月-4月，征求专家意见（理工大学王安老师、邵正强老师、中科院信工所周永彬教授）相关意见汇总到意见处理表、修改完善了标准文本。王安：针对整体文本表示结构完整，逻辑清晰，也参考各个行业标准和相关标准，内容丰富全面，但是部分文本格式和用词还需要再斟酌修改。邵正强：就文本没有提出任何意见。主要交流了标准什么时候制定、标准制定单位组成；产品标准和安全标准撰写和模板区别；标准与产品检测和认证的关系等内容。2019年4月12日，WG5工作组专家评审会征求意见，专家针对文本逐一提出修改意见，意见已汇总到意见处理汇总表，并最终形成了什么是安全处理器定义及安全处理器结构特征。安全处理器定义是指拥有独立的逻辑控制模块，用于实施物理、逻辑、应用防护以及标识安全功能服务控制的特定芯片，可以根据物理、逻辑、应用感知及安全警告，动态调整逻辑结构、重组控制文件（程序）编码，随机改变自身执行环境，在实现等价功能的同时，保障自身安全和提供对外服务安全。2019年5月，修改专家意见内容，内容包括编制说明、文本编辑（删除引言部分、相同术语的引用、增加安全处理器必要功能）等，形成正式征求意见稿，提交工作组，公开征求意见。标准的主要内容建立安全处理器模型，提出技术规范。建立一个统一的典型安全处理器概念模型。明确安全处理器的组成部分和术语定义。明确安全处理器应有的基本功能和技术要求。依据典型安全处理器模型给出示范性设计要求。应用防护：真随机数，密码体系，自锁自毁功能，多组密钥管理，安全协议和策略；物理防护：安全布线，光攻击测试，高低压测试，高低频测试，安全封装，应用封装。防止破坏攻击和窃取攻击，包括：阻止电磁攻击、能量攻击、旁路攻击和光照攻击的技术标准；逻辑防护：指令体系可重组（执行编码，指令编码）；禁止反汇编和反编译（指令标示、目标生成、指令译码标示）；系统应用状态标识及处理（编译态，执行态，解释态以及混合态）；安全指令控制（分支、数据访问、返回栈操作及无用单元回收指令），体系结构管理（多计时器系统，中断，多维译码器，初始化，编译控制，执行控制）支撑可信计算；阻止设计漏洞；可控管理：版图管理，生命周期管理，文档管理，人员等。为标准易于实施提供相应的规范性和资料性附录。保障级选择说明对国际的芯片测评进行统计，我们发现在最近通过测评的300多款产品中，基本上都是通过EAL4+、EAL5和EAL6的，其中通过EAL5的占到60%，通过EAL6的占到10%。通过测评产品，基本上都是行业重要企业，如英飞凌、恩智浦、三星、ATMEL、STM等，因此，通过EAL5是目前的主流，随着安全需求的不断加强，EAL6、EAL7级的评估是发展趋势。为兼顾现有，着眼未来发展，在标准中选择了EAL5、EAL6、EAL7保障级要求。采用国际标准和国外先进标准情况目前国际国内无同类标准。与现行相关法律、法规、规章及相关标准的协调性(一)贯彻国家有关政策与法规本标准中涉及的密码算法遵循国家商用密码的有关规定。本标准项目主要依据现有法律法规制定，与我国现行的法律、法规及国家标准、行业标准不存在冲突问题。（二）与相关国内标准的关系标准编制过程中，参考了GB/T18336-1：2015《信息技术安全技术IT安全性评估准则第1部分：简介和一般模型》、GB/T18336-2：2015《信息技术安全技术IT安全性评估准则第2部分：安全功能组件》、GB/T18336-3：2015《信息技术安全技术IT安全性评估准则第3部分：安全保障组件》、GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》等国家标准，保证标准相关内容和已发布标准的一致性。重大分歧意见的处理经过和依据工作组在标准编制过程中，经历了内部讨论与论证、专家征求意见等过程，工作组在工作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准编制工作。在整个过程中遇到重大意见分歧：标准名称的问题。专家们出现了几种建议，一种建议把《安全处理器技术规范》改为《处理器安全技术规范》；另一种建议名称改为《基于XXX的安全处理器技术规范》；还有部分专家认为如果把安全处理器作为一个特定的产品，起这个名称也无所谓，可以定义为《安全处理器技术规范》。就此问题我们从安全处理器的定义、特点、应用方向等方面进行了沟通和说明，目前还是延续使用《安全处理器技术规范》这个名称。国家标准作为强制性国家标准或推荐性国家标准的建议建议作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议该国标为生产、测试和评估安全处理器提供指导性意见，建议在全国推荐性实施，政府主导，企业落实。在具体贯彻实施该标准时，首先可要求不同的产品测试机构使用该标准作为安全处理器的测试依据，例如，可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等，由此可以进一步推动产品的生产厂商以该标准为依据，更全面地应用到产品的研发生产过程中，达到业界内全面使用该标准的局面。废止现行有关标准的建议本标准不涉及现行有关标准。有关专