信息安全技术可信计算规范服务器可信支撑平台

GB/TXXXXX—XXXX信息安全技术可信计算规范服务器可信支撑平台范围本标准描述了服务器可信支撑平台的组成结构，并规定了服务器可信支撑平台的功能和安全性要求。本标准适用于可信计算体系下服务器中可信组件的设计、生产、集成、管理和测试。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29827-2013信息安全技术可信计算规范可信平台主板功能接口GB/T29829-2013信息安全技术可信计算密码支撑平台功能与接口规范术语、定义和缩略语术语和定义GB/T29827-2013、GB/T29829-2013确立的以及下列术语和定义适用于本标准。服务器指服务器硬件系统，或者服务器硬件系统和操作系统的组合。[GB/T21028-2007，术语和定义3.1.1修改]注：在虚拟化环境中，操作系统中还应包含虚拟机监控器。服务器可信支撑平台构建在服务器中，用于实现可信计算功能的支撑系统。物理可信根PhysicalRootofTrust用于为服务器可信支撑平台提供完整性度量、安全存储、可信报告以及密码服务等功能的模块。虚拟可信根VirtualRootofTrust服务器可信支撑平台中为虚拟机提供的符合物理可信根规范的可信组件，一个虚拟可信根实例应与唯一固定的虚拟机对应，并且可从一个服务器可信支撑平台迁移到另外一个服务器可信支撑平台。虚拟可信组件VirtualTrustedComponent操作系统中为虚拟机提供可信功能支撑的所有程序和数据的集合，包括虚拟可信根、虚拟可信根管理器和可信迁移组件等。可信基础组件TrustedBasicComponent为虚拟可信组件及服务器可信支撑平台外部实体提供访问和管理物理可信根能力的软件模块统称，如TCM服务模块、可信软件基等。虚拟可信根管理器VirtualRootofTrustManagement是虚拟可信组件中创建和管理虚拟可信根的可信组件。虚拟可信度量根VirtualRootofTrustforMeasurement，vRTM位于虚拟可信根中，用于可靠进行完整性度量的模块，是虚拟机完整性度量的起始点。带外管理模块Out-of-bandManagementModule，OMM是服务器硬件系统上用于监控主板各功能部件状态的独立管理单元，如x86平台的BMC、POWER平台的FSP等。缩略语下列缩略语适用于本标准：OMM带外管理器模块out-of-bandmanagementmoduleOMMROM带外管理模块非易失存储空间out-of-bandManagementModuleReadOnlyMemoryPIK平台身份密钥 platformidentitykeyVM虚拟机virtualmachineVMM虚拟机监控器virtualmachineMonitorvPCRs虚拟可信根平台配置寄存器virtualPlatformConfigurationRegistervRTM虚拟可信度量根virtualrootoftrustformeasurement组成结构服务器可信支撑平台主要由物理可信根、可信基础组件和虚拟可信组件等部分组成。其组成结构如图1所示。根据服务器软硬件组成的不同，应包含服务器可信支撑平台的不同部分。其组成关系如下：——服务器硬件系统：应包含物理可信根；——非虚拟化环境（服务器硬件系统和操作系统组成）：应包含物理可信根和可信基础组件；——虚拟化环境（服务器硬件系统、操作系统和VMM）：应包含物理可信根、可信基础组件和虚拟可信组件。图1服务器可信支撑平台组成结构——服务器硬件系统与服务器可信支撑平台的关系如下：服务器硬件系统应嵌入物理可信根，实现服务器硬件系统的信任链构建；服务器硬件系统中各模块的协作关系应满足如下要求：服务器硬件系统信任链建立的起点是物理可信根；OMM启动过程应以物理可信根为信任起点构建信任链；BootROM及OMMROM中需实现对各阶段的程序模块和组件进行度量，实现信任链传递。——服务器操作系统与服务器可信支撑平台的关系如下：应包含可信基础组件，实现从服务器硬件系统到操作系统的信任链传递，并为其他可信组件及服务器其他实体提供可信服务。可信基础组件应满足如下要求：应实现与物理可信根相对应的功能及接口规范；负责接收并传递来自服务器硬件系统的信任关系到操作系统；提供访问和管理物理可信根相关可信接口；维护服务器硬件系统与操作系统的信任关系。在虚拟化环境下，还应包含虚拟可信组件。虚拟可信组件应满足如下要求：由虚拟可信根管理器、虚拟可信根实例、可信迁移、远程证明等组件；负责将信任链从操作系统传递到虚拟机；维护虚拟可信组件与虚拟机的信任关系；为虚拟机提供可信根服务，使得虚拟机中的可信基础组件无差异地使用虚拟可信根服务；确保虚拟机与虚拟可信根实例的一对一绑定关系。总体要求概述服务器可信支撑平台中，密码算法要求是基础，物理可信根和虚拟可信根是关键部件，完整性度量、存储及报告是基本可信机制，均应符合国家已发布相关标准及政策要求。物理可信根物理可信根集成在服务器硬件系统中，是为服务器提供完整性度量、安全存储、可信报告以及密码服务的硬件模块。物理可信根应满足如下要求：是服务器度量的起点；满足GB/T29829-2013中4.1.3或GB/T29827-2013的基本要求；其实现载体应通过国家相关部门的许可。虚拟可信根虚拟可信根是为虚拟机提供完整性度量、安全存储、可信报告以及密码服务的模块。虚拟可信根应满足如下要求：是虚拟机度量的起点；满足GB/T29829-2013中4.1.3或GB/T29827—2013的基本要求；其实例仅能为一个固定的虚拟机提供可信服务。完整性度量、存储及报告5.3.1服务器完整性度量应符合GB/T29829-2013中、GB/T29827-2013中7.1的要求。5.3.2服务器完整性存储应满足如下要求：服务器中相应部件的度量值应存储于物理可信根中；虚拟化环境下还应满足：虚拟机中相应部件的度量值应存储于虚拟可信根中；虚拟可信根中应包含其所在平台度量值。5.3.3服务器完整性报告向验证者提供平台或部分部件的完整性度量值的过程应符合GB/T29829-2013中的要求。密码算法要求本标准中涉及的密码算法应符合国家密码管理局的相关要求。服务器硬件系统可信功能要求信任链建立流程服务器硬件系统信任链从上电到物理可信根启动后，操作系统操作系统内核加载之前的建立流程见图2。图2服务器硬件系统信任链建立流程应按照GB/T29827-2013中6.1，或GB/T29827-2013中的要求，从以下方面设计并实现服务器硬件系统信任链传递。服务器硬件系统启动时，物理可信根应作为信任起点先执行；由物理可信根中的RTM度量OMMBootLoader，生成的度量结果存储于物理可信根中，并存储度量日志；OMMBootLoader加载并执行；OMMBootLoader中的度量执行点对OMMKernel进行完整性度量，OMMKernel中度量执行点对应用程序及服务进行完整性度量；由物理可信根中的RTM度量BootROM中的初始引导模块（BootBlock），生成度量结果和日志，并存储度量结果到物理可信根中。OMM度量要求OMM的度量应满足如下要求：度量内容至少包括：OMM引导程序、OMM内核、OMM核心应用程序；应在约定的位置说明度量过程使用物理可信根PCR；应提供度量日志查询入口。时序控制基于GB/T29827-2013设计和实现的服务器可信支撑平台，宜根据其8.1的要求对物理可信根和服务器主板及其他部件之间的上电及开机启动时序实施控制，实现服务器上电后，在OMM和CPU启动前，由物理可信根先对OMMROM中的BootLoader和BootROM中的BootBlock实现完整性度量。物理可信根中的RTM度量完OMMROM和BootROM后，物理可信根发出控制信号启动CPU、芯片组等通用设备。服务器硬件时序控制逻辑如图3所示。图3时序控制6.3.1服务器主板上电时序为：服务器上电；时序控制电路给物理可信根上电，物理可信根自我初始化；物理可信根执行RTM，RTM度量ROM数据：RTM可靠地读取OMMROM，并度量其中的BootLoader代码的完整性；RTM可靠地读取BOOTROM，并度量其中的BootBlock代码的完整性；物理可信根根据RTM对ROM的度量结果，向时序控制电路输出对应的指令；时序控制电路根据物理可信根的输出指令来判决是否给OMM和CPU系统上电；OMM上电后，开始执行OMMROM代码；CPU上电后，开始执行BOOTROM代码。6.3.2服务器主板复位时序为：CPU系统触发复位后应通知物理可信根；由物理可信根中的RTM可靠地读取BOOTROM，并度量其中的BootBlock代码的完整性；物理可信根把RTM对BOOTROM的度量结果，向时序控制电路输出对应的指令；时序控制电路根据物理可信根的度量反馈结果来判决是否进行CPU系统的复位；CPU开始执行BOOTROM代码。6.3.3OMM系统复位时序为：OMM系统触发复位后应通知物理可信根；由物理可信根中的RTM可靠地读取OMMROM的BootLoader代码；物理可信根根据RTM对OMMROM的度量结果，向时序控制电路输出对应的指令；时序控制电路根据物理可信根的发送的指令来决定是否进行OMM系统的复位；OMM开始执行OMMROM代码。虚拟可信组件虚拟可信组件对服务器硬件系统的要求7.1.1服务器硬件系统应提供虚拟化层实现虚拟可信组件与非虚拟可信组件组件的隔离机制。7.1.2启用虚拟可信组件虚拟可信根功能前，物理可信根应满足以下条件：应存在背书密钥（EK）；应存在存储根密钥(SRK)和其它附属的存储密钥SK；应提供足够多的安全存储空间（如NVRAM），用以存储密钥、证书和其它秘密数据；7.1.3启用虚拟可信组件虚拟可信根功能前，应经完成从服务器硬件系统上电到虚拟可信组件组件运行的信任链构建。虚拟可信根功能要求除5.2节所描述的基本要求外，虚拟可信根还应满足如下要求：应具备全局唯一标识；应包含可用于证实其对应VM可信状态的信息；应是对外可评估（认证）的；应提供虚拟可信度量根（vRTM），在虚拟机引导程序执行过程中以可信赖的方式度量虚拟机并扩展度量结果到虚拟可信根的vPCRs；VM中的可信基础组件可以像访问物理可信根一样，无差异的访问虚拟可信根；应确保虚拟可信根的密钥只能由虚拟可信根自己使用；虚拟可信根中的vRTR、vRTS、vRTM应基于物理可信根实现，具体包括：虚拟可信报告根（vRTR）负责为系统远程证明提供信任机制，应通过物理可信报告根的密码机制实现；虚拟可信存储根（vRTS）负责保护数据的完整性和机密数，应通过物理可信存储根的密钥链来加密实现；虚拟可信度量根（vRTM）负责度量虚拟可信组件的完整性，应通过物理可信度量根的信任链机制实现；应提供确保虚拟可信根内部的敏感信息和状态数据总是处于受保护状态的机制，具体包括：当这些数据离开虚拟可信根控制的内存区域时，应加密存储这些数据；应提供防回滚机制，保证这些数据的新鲜性；在虚拟可信根重启的过程中，应提供维护虚拟可信根的永久性状态数据(如vEK,vSRK等)的机制。若虚拟可信根基于软件实现，还应满足如下要求：应在约定的位置定义扩展资源（如PCRs）的分配方式和要求；应提供防止虚拟可信根在非授权情况下回滚到历史状态的机制；应具备数据备份恢复功能；应具备更新升级功能；虚拟可信根在更新时应完成以下操作：删除或重置与虚拟可信根PCR状态绑定的缓存的密钥；删除或重置易失性状态数据(如TickNonces)；更新期间虚拟可信根将不可用，直到虚拟机重启；维护虚拟可信根的永久性状态数据(如vEK,vSRK等)。生命周期管理虚拟可信根的生命周期管理主要指在VM创建，启动，运行，关闭，挂起，销毁，迁移等几种状态切换时对虚拟可信根的运行状态的管理，如图4所示。图4虚拟可信根生命周期 虚拟可信根的生命周期管理的功能要求包括：创建阶段，应完成如下操作：初始化虚拟可信根及状态信息，为虚拟可信根分配资源；若虚拟可信根基于软件实现，还应完成如下操作：初始化虚拟可信根生产商信息和默认标志位等基本信息。为虚拟可信根创建数据加密密钥，加密虚拟可信根创建时产生的数据。启动阶段，应完成如下操作：启动虚拟可信根前，验证虚拟可信根的完整性；启动虚拟可信根前，验证本次启动时所使用的数据是否是最新数据；启动虚拟可信根前，验证本次启动所使用数据的完整性；启动虚拟可信根，使虚拟可信根功能接口可用；虚拟机启动过程中，存储虚拟可信度量根（vRTM）的度量结果到虚拟可信根vPCRs。运行阶段，应提供如下功能：提供物理可信根运行时所有对外功能；及时备份存储虚拟可信根状态数据。关闭阶段，应完成如下操作：对虚拟可信根实施常规可信根关闭操作；保存虚拟可信根中相关资源、状态信息，禁用虚拟可信根；记录虚拟可信根关闭时的时间；确保虚拟可信根敏感信息被保护起来，不被暴露；提供确保虚拟可信根时钟计数器能够反映真实时间的机制。迁移阶段，应完成如下操作：迁移开始前，保存虚拟可信根状态数据；迁移结束后，销毁虚拟可信根及其包含的所有资源。销毁阶段，应完成如下操作：销毁虚拟机对应虚拟可信根及其包含的所有资源数据。挂起阶段，应完成如下操作：以安全的方式存储虚拟可信根当前状态数据，包括PCR值、虚拟内存中相关数据、秘密数据等。vRTM（虚拟可信度量根）vRTM是虚拟机的可信度量根，用于在VM初始化代码执行时度量VM，并初始化VM虚拟可信根的vPCRs，将信任链传递至虚拟机。虚拟可信度量根功能要求如下：应建立在具备可信支撑功能的服务器硬件系统之上；应被虚拟可信组件之外的可信组件度量，并扩展度量结果到虚拟可信根的vPCR中；度量虚拟可信度量根的组件本身应是被度量过的，并在物理可信根中扩展了其度量值。密钥与证书要求虚拟可信根密钥管理应满足如下要求：在虚拟可信根创建时，应由虚拟可信根管理器为其分配背书密钥（vEK）；虚拟可信根背书密钥（vEK）应是可认证的。若虚拟可信根基于软件实现，还应满足如下要求：提供防止虚拟可信根密钥被复制的机制。安全性要求虚拟可信根应至少满足以下安全性要求：当虚拟可信根运行或关闭时，应保护虚拟可信根的敏感信息，防止篡改或暴露；当虚拟可信根不再被使用时，应加密存储虚拟可信根中的数据；虚拟可信根运行期间，应提供防止非可信组件访问虚拟可信根敏感信息的机制；应将虚拟可信根与非可信组件进行隔离；虚拟可信根中秘密数据离开受保护区域时（如数据备份、迁移等场景），应被加密；应确保VM只能通过VM中的可信基础组件接口调用访问虚拟可信根。若虚拟可信根是基于软件实现的，还应满足如下要求：提供防止虚拟可信根被复制的机制；虚拟可信根管理器功能要求虚拟可信根管理器是负责管理同一虚拟可信组中所有虚拟可信根实例的组件，并建立和维护虚拟可信根与虚拟机一一绑定的对应关系。虚拟可信根管理器功能与设计要求如下：虚拟可信根管理器应具备如下管理功能：提供建立虚拟可信根与物理可信根映射关系的机制，确保虚拟可信根是可引证的；提供防止虚拟可信根非授权情况下访问物理可信根中秘密数据或受限资源的机制；根据用户配置，为新建的虚拟机创建一个新的虚拟可信根实例，并建立该虚拟可信根实例与虚拟机绑定关系；当虚拟机迁移或移除时，删除该虚拟机对应的虚拟可信根实例。虚拟可信根管理器设计和实现时应满足如下要求：确保同一虚拟可信组件上只有一个虚拟可信根管理器；是可被认证的；支持物理可信根指令；若虚拟可信根基于软件实现，还应满足如下要求：在虚拟可信根创建时，负责初始化虚拟可信根中的基本信息（如厂商信息等）；在虚拟可信根创建时，虚拟可信根管理器应能够为虚拟可信根创建vEK，确保虚拟可信根是可被认证的；维护所有虚拟可信根当前的完整性信息；提供防止虚拟可信根非授权回滚或被恶意篡改的机制。密钥与证书要求密钥与证书应至少满足如下要求：通过物理可信根为虚拟可信根管理器创建标识其身份信息的密钥、并颁发身份认证证书；通过物理可信根为虚拟可信根管理器创建一个数据加密密钥，用于加密由虚拟可信根管理器产生的数据及密钥。安全性要求虚拟可信根管理器应至少满足如下安全需求：虚拟可信根管理器应是被度量过的，并存储度量结果到物理可信根；提供确保虚拟可信根管理器敏感信息完整性、保密性的机制；支持远程证明；提供评估认证虚拟可信根管理器及虚拟可信组件的身份合法性及可信状态的机制。可信迁移基本要求本标准中可信迁移特指服务器可信支撑平台上虚拟可信根基于双向远程证明保护的迁移过程，用于确保虚拟可信根在迁移过程中的保密性和完整性。虚拟可信根可信迁移在其对应的VM迁移时发生。服务器可信支撑平台的可信迁移组件和功能应满足以下基本要求：参与可信迁移的角色包括可信迁移源平台、可信迁移目标平台、可信迁移授权机构等；执行虚拟可信根迁移前，应先进行可信迁移目标平台和可信迁移源平台间的双向远程证明，确保可信迁移源平台与可信迁移目标平台均可信；应具备保护虚拟可信根迁移过程中数据的能力。可信迁组件功能要求可信迁移组件应满足如下功能要求：迁移过程由迁移引擎和迁移授权机构等组件协同完成；迁移授权机构的设计与实现应满足如下要求：如果迁移授权机构在服务器上，迁移授权机构应位于操作系统，迁移授权机构应可被外部实体认证；如果迁移授权机构不在服务器上，其身份应可被外部评估者认证；迁移引擎的设计与实现应满足如下要求：源平台和目标平台的迁移引擎属于操作系统；源平台和目标平台的迁移引擎可被外部评估者认证；源平台的迁移引擎负责加密源虚拟可信根的状态数据；源平台的迁移引擎仅在迁移授权机构授权的情况下进行加密传输操作；目标平台的迁移引擎负责解密接收到的数据；确保迁移过程中同一时刻虚拟可信根只在一个服务器可信支撑平台上运行；确保迁移过程中虚拟可信根的状态保持稳固；虚拟可信根迁移过程中，应加密虚拟可信根的状态数据；提供防止迁移过程中回滚虚拟可信根状态的机制。远程证明远程证明是指可信计算平台向外部实体证明平台身份及可信状态的过程。服务器可信支撑平台远程证明应满足如下要求：远程证明主要包括：远程证明验证者、远程证明代理等组件：其中远程证明验证者是远程证明请求发起方，根据远程证明代理提供的可信报告及身份信息验证平台身份合法性及可信状态；远程证明代理位于服务器可信支撑平台操作系统，用于生成并发送平台可信报告及身份信息给远程验证者；远程证明过程中证明的信息包括平台身份信息、平台完整性报告；其中平台身份信息是指服务器可信支撑平台身份标识信息，即服务器可信支撑平台身份证书（PIK证书），平台完整性报告是指由平台身份密钥（PIK）签名的平台完整性度量报告；远程证明核心流程参见GB/T29829-2013中的要求；远程证明过程中所使用的证书应符合物理可信根相关规范要求。服务器远程证明服务器可信支撑平台远程证明是指通过远程证明检测服务器可信支撑平台的可信状态。服务器可信支撑平台远程证明组件除符合8.3所述相关要求外，还应满足如下要求：能够检测到虚拟机监控器位于服务器硬件系统之上；虚拟机监控器提供的证明信息中应不包含任何虚拟可信根的敏感信息。虚拟可信根可信迁移过程虚拟可信根可信迁移过程参考流程如图5所示，主要步骤如下：虚拟可信根可信迁移目标平台接收到可信迁移请求后，首先创建一个空的虚拟可信根实例，并为该实例创建UUID(Nonce值)，将该Nonce值用公钥加密后发送给源平台，源平台虚拟可信根状态数据的迁移均与该Nonce值绑定；可信迁移源平台为源虚拟可信根实例产生一个用于加密该虚拟可信根状态数据的对称密钥，同时将对称密钥通过安全协议发送至目标平台；源虚拟可信根实例的状态数据包括但不限于NVRAM、密钥、授权等数据，状态数据收集完成后，锁定该虚拟可信根实例；对源虚拟可信根状态