信息安全技术 可信计算规范 可信平台控制模块

GB/TXXXXX—XXXX信息安全技术可信计算规范可信平台控制模块范围本标准描述了可信平台控制模块支撑的可信计算平台框架、可信平台功能流程以及可信平台控制模块的功能组成、功能接口、安全防护和运行维护要求。本标准适用于指导可信平台控制模块的设计、生产和测评。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29827—2013信息安全技术可信计算规范可信平台主板功能接口GB/T29828—2013信息安全技术可信计算规范可信连接架构GB/T29829—2013信息安全技术可信计算密码支撑平台功能与接口规范GM/T0012—2012可信计算可信密码模块接口规范术语与定义GB/T29827-2013、GB/T29828-2013、GB/T29829-2013界定的以及下列术语和定义适用于本文件。可信密码模块（TCM）trustedcryptographymodule可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。[GB/T29829—2013，定义3.1.7]可信平台控制模块（TPCM）trustedplatformcontrolmodule一种可集成在可信计算平台中，用于建立和保障信任源点的基础核心模块，为可信计算平台提供主动度量、主动控制、可信认证、加密保护、可信报告等功能。可信根rootoftrust对应TPCM模块。[GB/T29827—2013，定义3.1]可信计算平台(TCP)trustedcomputingplatform通过TPCM在计算系统中建立的支撑系统，用于实现可信计算功能的，对计算系统实施保护和管理。[GB/T29828—2013，定义3.11]启用状态enabledstate 可信平台控制模块处于可以接收、执行所有指令的工作状态。禁用状态disablestate 可信平台控制模块处于只能执行启用指令的特殊工作状态。主动自检activeself-checkingTPCM上电后主动对模块内部指定内容进行的检测操作。被动自检passiveself-checkingTPCM接收到自检指令后，对模块内部指定内容进行的检测操作。可信软件基trustedsoftwarebase为可信计算平台提供可信支撑的软件元素集合。可信管理中心trustedmanagementcenter对可信计算平台的策略和基准值进行制定、下发、维护、存储等操作的集中管理中心。可信验证trustedverification依据度量策略和基准值对被验证对像进行主动的度量和度量结果验证的过程。主动度量activemeasuring可信计算部件依据度量策略发起对度量对象进行度量的行为。缩略语下列缩略语适用于本文件：API:应用程序编程接口(ApplicationProgrammingInterface)IP：知识产权(IntellectualProperty)IO:输入输出（Input/Output）PCIe：外设组件高速互连标准（PeripheralComponentInterconnectExpress）TCM：可信密码模块(TrustedCryptographyModule)TPCM：可信平台控制模块(TrustedPlatformControlModule)TSB：可信软件基(TrustedSoftwareBase)USB:通用串行总线(UniversalSerialBus)TPCM支撑的可信计算平台双体系框架TPCM支撑的可信计算平台双体系框架由计算部件和防护部件构成，如图1所示。图1TPCM支撑的可信计算平台双体系框架计算部件由用于执行运算任务各个部件构成；防护部件由可信密码模块、TPCM和可信软件基等构成。防护部件独立于计算部件执行，为可信计算平台提供具有主动度量和主动控制特征的可信计算防护功能，实现运算的同时进行安全防护，使计算结果总是与预期一致，计算全程可控可测，不被干扰的目标。本标准定义的可信计算平台具有以下几个特征：TPCM使用可信密码模块提供的密码计算、身份认证和加密存储功能，遵循GM/T0012及相关密码国家标准和行业标准，并在设计上应保证该可信密码模块仅供TPCM访问；TPCM支撑可信软件基的策略管理、密码服务、系统管理、度量控制功能，可为可信软件基提供运行环境；基于TPCM支撑，可信软件基实现对宿主系统软件和应用软件主动度量；不同可信计算平台之间的可信网络连接需在TPCM和可信软件基的支撑下进行，相关接口遵循GB/T29828—2013标准中的要求。TPCM可以采用多种形态实现，如板卡、芯片、IP核等。可信平台功能流程6.1TPCM工作模式TPCM支撑的可信计算平台中，TPCM应是平台中第一个上电运行的部件，在平台从引导到正常工作的整个过程中，TPCM应并行于宿主计算组件独立工作并不受其影响，是可信计算功能支撑的基础部件，是可信计算平台的信任源点。6.2可信验证功能流程6.2.1可信平台启动验证在安全启动TPCM的基础上，应基于可信根对TPCM支撑的计算部件的系统固件、引导程序、操作系统内核等环节进行可信验证，并在检测到其可信性受到破坏后进行报警控制处理，验证无误计算节点可启动工作。6.2.2应用程序可信验证在TPCM所在可信计算平台启动验证基础上，应对其应用程序的装载和启动过程基于可信根进行可信验证，通过验证方能启动执行，否则进行报警，并采取恢复措施。6.2.3执行环节动态验证在TPCM所在可信计算平台启动和应用程序验证基础上，可基于可信根对应用程序执行中关键环节的环境状态进行可信验证，主动抵御入侵行为，并将验证结果报送安全管理中心。6.2.4实时验证关联感知在TPCM所在可信计算平台启动、应用程序和执行环境验证基础上，可基于可信根对应用程序执行过程中所有重要环节的环境状态进行可信验证，并将验证结果进行动态实时关联感知，形成态势预警。6.2.5网络连接可信验证在TPCM所在可信计算平台启动、应用程序和执行环境验证基础上，应基于可信根对网络连接请求方和连接方进行身份、网络执行环境以及网络协议等进行可信验证。见GB/T29828—2013。TPCM功能组成7.1功能组成框架TPCM应具有可信认证、状态度量、安全存储、可信报告以及密码接口等功能，是可信计算平台的信任源点。TPCM在逻辑上可以分为基础硬件、基础软件、功能服务、接口四部分，如图2所示。图2TPCM功能组成框架7.2基础硬件基础硬件由处理器、存储器、总线及IO接口等组成，是TPCM进行数据处理、存储、总线访问、IO接口控制及计算部件访问和控制的基本资源。7.3基础软件基础软件实现对TPCM内部的资源调度和任务管理以及提供IO接口驱动及控制。7.4功能服务功能服务包括主动度量、主动控制、可信认证、加密保护、可信报告、用户管理和基本信任基管理。TPCM主动度量是依据TPCM的度量策略和基准值，获取计算部件的内存、IO、固件中的度量对象信息，并进行度量和验证。TPCM的度量策略和基准值一部分是内置的，一部分是由可信软件基解析后给TPCM执行的。度量策略和基准值都可由可信管理中心进行更新。TPCM主动控制是指依据TPCM的控制策略和主动度量结果，TPCM进行总线、电源信号等方式执行控制。TPCM可信认证和加密保护是以可信密码模块的密码机制为支撑，对系统中的对象主体进行可信认证，对系统中的数据实施加密保护。TPCM的可信报告是将TPCM的度量结果存储，一些关键度量结果写入到可信密码模块中，通过可信密码模块提供的可信报告功能，向外界提供TPCM度量结果的可信报告。TPCM的用户管理是在TPCM中维持用户及其认证信息、授权信息的列表，对TPCM的访问通过身份认证和会话建立确认其来源，并根据授权信息执行访问控制。TPCM的基本信任基管理是对系统启动过程中的可信度量、可信控制策略进行管理。7.5接口TPCM通过外部接口实现访问计算部件资源、连接可信密码模块和提供面向外部的功能访问，包括计算部件接口、可信软件基接口、管理接口、可信密码模块接口。具体接口要求见第8章。TPCM接口8.1计算部件接口8.1.1接口类型 计算部件接口主要为总线接口，与系统中不同类型的总线相连接，TPCM通过该接口访问内存、IO、系统固件等系统资源，并对IO总线、电源等系统资源进行控制。计算部件接口可包含设备接口。8.1.2接口功能 TPCM可通过计算部件总线接口复制总线数据、截获总线数据并进行处理或下发总线控制命令。TPCM通过这些功能在总线层面实现对可信计算平台的主动度量、主动控制、可信认证和加密保护等主动监控功能。计算部件接口可提供兼容已有设备物理接口的设备接口，以提供兼容已有设备且具备可信功能的设备接口功能。8.1.3接口输入/输出 计算部件接口中总线接口的输入/输出为符合不同总线标准的数据或控制命令。计算部件接口中设备接口的输入/输出为符合设备接口规范的数据和控制命令。8.2可信软件基接口8.2.1接口类型 可信软件基接口物理层面可以是独立的接口或复用计算部件接口，由可信软件基通过明确定义的API接口访问。可信软件基访问可信软件基接口时，需首先通过API与TPCM间进行相互认证，并建立可信的数据通道。8.2.2接口功能 可信软件基接口主要实现可信软件基与TPCM的互动，可信软件基向TPCM下达可信验证、状态度量、加密保护和可信控制等策略，并从TPCM获取可信状态报告信息和可信密码服务等功能。8.2.3接口输入/输出 可信软件基接口的输入为可信软件基通过API生成的控制命令或策略数据。输出为TPCM返回的状态信息或运算数据。8.3管理接口8.3.1接口类型 管理接口为独立的物理接口，可以为网络或总线接口模式，由TPCM管理程序访问，其访问数据格式需通过规范文档明确定义，并考虑安全要求。8.3.2接口功能TPCM的管理接口包括TPCM自身管理、可信密码模块管理、基本信任基管理以及日志管理等。TPCM自身管理接口包括TPCM配置管理和安全管理。可信密码模块管理接口提供TPCM所使用的可信密码模块的授权管理、密钥管理。基本信任基管理接口提供基本信任基的度量值管理与度量策略管理。日志管理接口提供TPCM管理行为日志的导出机制。8.3.3接口输入/输出 管理接口的输入为TPCM管理程序输入的配置信息、管理命令、TPCM基本信任基的策略以及TPCM日志策略。管理接口的输出为TPCM自身的状态、可信密码模块的状态、基本信任基状态以及TPCM日志信息。8.4可信密码模块接口可信密码模块接口提供TPCM对可信密码模块访问的IO通道，接口规范应遵循可信密码模块相关接口规范。安全防护9.1身份鉴别9.1.1用户分类TPCM应支持多种用户身份管理，至少应支持以下两种类别的用户：管理员，具备创建所有者、管理用户、设置防护策略及TPCM的状态管理权限；普通用户，有不同认证和防护策略等设置。9.1.2用户鉴别要求当TPCM提供服务时，应当对访问的身份进行鉴别，鉴别要求如下：可通过身份识别设备获取当前使用者的身份信息；可通过通信通道获取得前使用者的身份信息。9.2资源访问控制TPCM应支持对资源的访问控制，控制对象可包括硬盘、USB、PCIe、并口、串口和网口设备等。9.3审计TPCM应对所执行的指令记录日志，并支持审计。审计日志应满足如下要求：日志存储在非易失性数据存储单元中；应对日志的访问进行权限控制，并应保证日志的完整性；可提供日志记录安全转移及安全迁移功能。9.4存储空间安全要求TPCM不对外开放地址空间，对TPCM的访问应通过TPCM指令集解析实现。TPCM运行过程中产生的临时数据在失效后应及时清除。9.5数据保护TPCM应能够将重要数据与度量值捆绑，实现数据封装保护。受保护的数据只能在绑定TPCM的平台以及特定完整性状态下才能被解封。TPCM应具有安全数据迁移、备份与恢复的功能，迁移、备份与恢复操作在保证数据的机密性和完整性前提下进行。9.6物理防护在TPCM内部应使用物理防护手段实现对外部攻击的防护，包括：防止因产生电磁波造成的TPCM信息泄漏；防止因高低压攻击造成TPCM被破坏；防止因高低频攻击造成TPCM被破坏；应具备防止物理篡改能力；应具备防止侧信道攻击的能力。运行维护10.1自检10.1.1主动自检TPCM上电启动时，应进行主动自检。主动自检对象应包括密码算法模块、设计者自定义状态标识及TPCM内部代码完整性。10.1.2被动自检TPCM应支持被动自检，被动自检对象包括密码算法模块、设计者自定义TPCM状态标识、当前用户身份标识和当前用户身份，可信寄存器组的信息。10.1.3自检异常处理TPCM如果未通过自检，立即向可信计算平台发出自检失败信号，将自检