嵌入式可信計(jì)算技術(shù)要求及測評方法（征求意見稿）

1本文件規(guī)定了嵌入式系統(tǒng)可信計(jì)算技術(shù)的技術(shù)架構(gòu)要求、功能要求、性能要求和安全保障要求以及測試要求。本文件適用于規(guī)范可信計(jì)算技術(shù)在嵌入式領(lǐng)域的設(shè)計(jì)、開發(fā)和測試。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T29827信息安全技術(shù)可信計(jì)算規(guī)范可信平臺主板功能接口GB/T29828信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)GB/T29829信息安全技術(shù)可信計(jì)算密碼支撐平臺功能與接口規(guī)范GB/T37935信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T38638信息安全技術(shù)可信計(jì)算可信計(jì)算體系結(jié)構(gòu)GB/T40650信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊《GB/T25069—2010信息安全技術(shù)術(shù)語》和《GB/T18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型》界定的以及下列術(shù)語和定義適用于本文件。3.12輕量化環(huán)境度量LightweightEnvironmentalMeasuring依據(jù)防護(hù)策略和基準(zhǔn)值，周期性的對操作系統(tǒng)、業(yè)務(wù)運(yùn)行環(huán)境進(jìn)行主動度量的方法。3.2系統(tǒng)行為度量SystemBehaviorMeasuring依據(jù)防護(hù)策略和基準(zhǔn)值，對操作系統(tǒng)行為進(jìn)行主動度量的方法。3.3業(yè)務(wù)行為度量BusinessBehaviorMeasuring依據(jù)防護(hù)策略和基準(zhǔn)值，在特定的業(yè)務(wù)場景下，對關(guān)鍵業(yè)務(wù)行為軌跡進(jìn)行主動度量的方法。3.4可信存儲TrustedStorage可信存儲是利用可信計(jì)算技術(shù)對數(shù)據(jù)、文件等存儲進(jìn)行保護(hù)的行為。3.5可信通信TrustedCommunication可信通信是網(wǎng)絡(luò)節(jié)點(diǎn)加入到可信網(wǎng)絡(luò)環(huán)境中，需進(jìn)行身份鑒別、完整性評估及加密通信的過程。下列縮略語適用于本文件。CPU：中央處理器（CentralProcessingUnit）I/O：輸入/輸出（Input/Output）TCM：可信密碼模塊（TrustedCryptographyModule）TPCM：可信平臺控制模塊（TrustedPlatformControlModule）TSB：可信軟件基（TrustedSoftwareBase）5.1總體架構(gòu)3圖1嵌入式系統(tǒng)可信計(jì)算架構(gòu)圖5.2架構(gòu)設(shè)計(jì)要求5.2.1架構(gòu)設(shè)計(jì)要求嵌入式系統(tǒng)可信計(jì)算技術(shù)架構(gòu)應(yīng)具備雙體系設(shè)計(jì)，具體技術(shù)要求如下：a）應(yīng)支持計(jì)算部件和防護(hù)部件的雙體系并行機(jī)制；b）應(yīng)具備統(tǒng)一管控的策略配置功能。5.2.2架構(gòu)組件要求嵌入式系統(tǒng)可信計(jì)算技術(shù)可基于應(yīng)用場景對功能組件進(jìn)行裁剪，具體要求如下：a）應(yīng)保留對防護(hù)部件進(jìn)行可信驗(yàn)證的相關(guān)功能組件；b）可對標(biāo)準(zhǔn)架構(gòu)中的功能組件進(jìn)行裁剪，必要時可對操作系統(tǒng)進(jìn)行整體裁剪；c）在保證TPCM功能的基礎(chǔ)上，可對TPCM的操作系統(tǒng)、管理功能模塊等進(jìn)行裁剪。6.1可信根功能要求a）應(yīng)具備密碼服務(wù)的功能；b）應(yīng)具備對被保護(hù)系統(tǒng)啟動過程的度量能力，包括系統(tǒng)基本硬件配置的度量、系統(tǒng)固件的度量以及系統(tǒng)引導(dǎo)程序的度量等；4c）應(yīng)具備對系統(tǒng)啟動過程的控制能力，當(dāng)系統(tǒng)處于不可信狀態(tài)時，可通過攔截和報(bào)警等方式實(shí)現(xiàn)控制動作；d）可優(yōu)先于其他計(jì)算機(jī)關(guān)鍵部件啟動；e）應(yīng)由自身物理特性提供可信保障。6.2主動度量要求a）可信鏈傳遞應(yīng)在系統(tǒng)啟動階段進(jìn)行，同時應(yīng)滿足隨可信鏈傳遞對系統(tǒng)控制權(quán)進(jìn)行同步傳遞；b）應(yīng)具備輕量化環(huán)境度量功能；c）應(yīng)具備系統(tǒng)行為度量功能；d）可具備業(yè)務(wù)行為度量功能；e）應(yīng)具備度量策略的可配置性，支持集中配置管控或預(yù)置于系統(tǒng)中。6.3安全審計(jì)要求a）應(yīng)提供對啟動階段、運(yùn)行階段可信驗(yàn)證的結(jié)果生成審計(jì)日志的功能；b）應(yīng)能夠根據(jù)安全可信策略，對違反規(guī)則的事件進(jìn)行記錄，形成審計(jì)日志，通過加密數(shù)據(jù)通道傳送到管理中心；c）應(yīng)能夠?qū)χ匾挠脩粜袨楹桶踩录M(jìn)行審計(jì)；d）應(yīng)對審計(jì)日志進(jìn)行保護(hù)；e）可對審計(jì)日志進(jìn)行定期備份。6.4可信存儲要求a）應(yīng)保證存儲根密鑰存放在可信根內(nèi)部，外部無法獲取；b）應(yīng)保證對關(guān)鍵業(yè)務(wù)數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務(wù)進(jìn)行加密處理。6.5可信恢復(fù)要求a）可提供對被保護(hù)系統(tǒng)可信恢復(fù)的功能；b）可提供在主動度量發(fā)現(xiàn)固件被篡改時，對固件進(jìn)行恢復(fù)的功能；c）可提供在固件對操作系統(tǒng)進(jìn)行度量時，發(fā)現(xiàn)操作系統(tǒng)核心被篡改時，對操作系統(tǒng)核心進(jìn)行恢復(fù)的功能。6.6可信通信要求a）應(yīng)實(shí)現(xiàn)通信雙方的雙向身份鑒別功能；b）應(yīng)實(shí)現(xiàn)基于身份鑒別基礎(chǔ)上的會話密鑰協(xié)商功能。6.7可信更新要求a）應(yīng)提供對固件更新環(huán)境的可信驗(yàn)證功能；b）應(yīng)提供對更新固件本身的可信驗(yàn)證功能。6.8集中管控要求a）應(yīng)在可信連接的基礎(chǔ)上，建立一個加密的數(shù)據(jù)通道，用于設(shè)備與安全組件的遠(yuǎn)程管5b）應(yīng)能夠通過加密通道，進(jìn)行安全可信策略的下發(fā)、更新等操作；c）應(yīng)能夠根據(jù)安全可信策略，將審計(jì)數(shù)據(jù)、報(bào)警信息、日志數(shù)據(jù)通過加密通道傳輸?shù)竭h(yuǎn)程控制端；d）集中管控平臺涉及到跨系統(tǒng)之間通信時，應(yīng)部署訪問控制設(shè)備、設(shè)置訪問控制策略，并提供對非法訪問的實(shí)時報(bào)警功能。7.1主動度量性能要求a）應(yīng)滿足業(yè)務(wù)場景使用需求，增加的系統(tǒng)啟動時間，對系統(tǒng)正常工作不造成影響；b）針對實(shí)時性要求高的場景，應(yīng)在啟動階段完成主動度量，可在運(yùn)行過程中不觸發(fā)主動度量功能或加大主動度量周期以減少對系統(tǒng)資源的占用（例如：主動度量周期可設(shè)置為最小周期任務(wù)的5~10倍）。7.2可信通信性能要求a）可信通信會話建立時間、網(wǎng)絡(luò)數(shù)據(jù)傳輸延時等關(guān)鍵參數(shù)，應(yīng)滿足業(yè)務(wù)通信實(shí)時性要7.3安全審計(jì)性能要求a）本地存儲審計(jì)日志的能力應(yīng)大于6個月；b）遠(yuǎn)程服務(wù)器存儲審計(jì)日志的能力應(yīng)大于6個月。7.4可信存儲性能要求a）可信存儲過程中加解密對系統(tǒng)性能影響，應(yīng)滿足業(yè)務(wù)場景使用需求；b）可信存儲的數(shù)據(jù)加解密速率應(yīng)大于500KB/s。8.1配置管理在配置管理部分應(yīng)滿足以下要求：a)開發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識；b)開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔；c)配置管理文檔應(yīng)包括一個配置清單；d)配置清單應(yīng)唯一標(biāo)識組成產(chǎn)品的所有配置項(xiàng)；e)應(yīng)對配置項(xiàng)進(jìn)行描述，且描述對配置項(xiàng)給出唯一標(biāo)識的方法；f)應(yīng)提供所有的配置項(xiàng)得到有效維護(hù)的證據(jù)。8.2交付與運(yùn)行6在交付與運(yùn)行方面應(yīng)滿足以下要求：a)開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化；b)交付文檔應(yīng)描述在給用戶方交付產(chǎn)品的各版本時，為維護(hù)安全所必需的所有程序；c)開發(fā)者應(yīng)提供文檔說明產(chǎn)品的安裝、生成和啟動的過程；d)開發(fā)者應(yīng)對固件升級的安全要求提供說明文檔。8.3開發(fā)功能規(guī)范開發(fā)者應(yīng)提供一個功能規(guī)范，功能規(guī)范應(yīng)滿足以下要求：a)功能設(shè)計(jì)使用非形式化風(fēng)格來描述產(chǎn)品安全功能及其外部接口；b)功能設(shè)計(jì)是內(nèi)在一致的；c)描述所有外部接口的用途與使用方法，適當(dāng)時應(yīng)提供效果、例外情況和錯誤消息的細(xì)節(jié)；d)功能設(shè)計(jì)應(yīng)完備地表示產(chǎn)品功能。e)功能設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能的結(jié)構(gòu)。f)描述每個安全功能子系統(tǒng)所提供的安全功能性。g)標(biāo)識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制所提供功能的一個表示。h)標(biāo)識安全功能子系統(tǒng)的所有接口。i)標(biāo)識安全功能子系統(tǒng)的哪些接口是外部可見的。8.4指導(dǎo)性文檔開發(fā)者應(yīng)提供管理員指南和用戶指南，應(yīng)說明以下內(nèi)容：a)管理員指南中管理員可使用的管理功能和接口；b)管理員指南中怎樣安全地管理產(chǎn)品；c)管理員指南中在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；d)管理員指南中所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；e)管理員指南中所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；f)管理員指南中每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實(shí)體的安全特性進(jìn)行的改變；g)管理員指南中所有與管理員有關(guān)的IT環(huán)境安全要求。h)用戶指南中產(chǎn)品的非管理員用戶可使用的安全功能和接口；i)用戶指南中產(chǎn)品提供給用戶的安全功能和接口的使用方法；j)用戶指南中用戶可獲取到安全處理環(huán)境所控制的所有功能和權(quán)限；k)用戶指南中產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；l)用戶指南中與用戶有關(guān)的IT環(huán)境的所有安全要求。8.5測試開發(fā)者應(yīng)測試安全功能，測試應(yīng)滿足以下要求：a)應(yīng)提供測試覆蓋的證據(jù)。b)在測試覆蓋證據(jù)中，應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對應(yīng)的。c)功能測試中，測試計(jì)劃應(yīng)標(biāo)識要測試的安全功能，并描述測試的目標(biāo)。7d)功能測試中，測試過程應(yīng)標(biāo)識要執(zhí)行的測試，并描述每個安全功能的測試概況，這些概況應(yīng)包括對于其他測試結(jié)果的順序依賴性。e)功能測試中，預(yù)期的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出。f)功能測試中，實(shí)際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。g)應(yīng)提供適合測試的產(chǎn)品，提供的測試集合應(yīng)與其自測產(chǎn)品功能時使用的測試集合相一致。h)應(yīng)提供一組相當(dāng)?shù)馁Y源，用于安全功能的抽樣測試。8.6脆弱性評定開發(fā)者應(yīng)對脆弱性進(jìn)行評定，應(yīng)滿足以下要求：a)應(yīng)對指導(dǎo)性文檔中所標(biāo)識的每個具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分析，并說明安全機(jī)制達(dá)到或超過定義的最低強(qiáng)度級別或特定功能強(qiáng)度度量。b)應(yīng)執(zhí)行脆弱性分析，并提供脆弱性分析文檔。c)應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進(jìn)行分析并提供文檔。對被確定的脆弱性，開發(fā)者應(yīng)明確記錄采取的措施。d)對每一條脆弱性，應(yīng)有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利用。9.1嵌入式系統(tǒng)可信計(jì)算功能測試要求9.1.1可信根功能測試要求依據(jù)可信根功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查可信根是否具備密碼服務(wù)功能；b)現(xiàn)場核查可信根是否具備對被保護(hù)系統(tǒng)啟動過程的度量能力，包括系統(tǒng)基本硬件配置的度量、系統(tǒng)固件的度量以及系統(tǒng)引導(dǎo)程序的度量等；c)現(xiàn)場核查可信根是否具備對系統(tǒng)啟動過程的控制能力，當(dāng)系統(tǒng)處于不可信狀態(tài)時，是否可通過攔截和和報(bào)警等方式實(shí)現(xiàn)控制動作；d)現(xiàn)場核查可信根是否能夠優(yōu)先于其他計(jì)算機(jī)關(guān)鍵部件啟動；e)現(xiàn)場核查可信根是否能夠由自身物理特性提供可信保障。9.1.2主動度量功能測試要求依據(jù)主動度量功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查可信鏈傳遞是否能夠在系統(tǒng)啟動階段進(jìn)行，同時應(yīng)滿足隨可信鏈傳遞對系統(tǒng)控制權(quán)進(jìn)行同步傳遞；b)現(xiàn)場核查是否具備輕量化環(huán)境度量功能；c)現(xiàn)場核查是否具備系統(tǒng)行為度量功能；d)現(xiàn)場核查是否具備業(yè)務(wù)行為度量功能；e)現(xiàn)場核查是否具備度量策略的可配置性，支持集中配置管控或預(yù)置于系統(tǒng)中。9.1.3安全審計(jì)功能測試要求8依據(jù)安全審計(jì)功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查是否能夠提供對啟動、運(yùn)行階段可信驗(yàn)證的結(jié)果生成審計(jì)日志的功能；b)現(xiàn)場核查是否能夠根據(jù)安全可信策略，對違反規(guī)則的事件進(jìn)行記錄，形成審計(jì)日志，通過加密數(shù)據(jù)通道傳送到管理中心；c)現(xiàn)場核查是否能夠?qū)χ匾挠脩粜袨楹桶踩录M(jìn)行審計(jì)；d)現(xiàn)場核查是否對審計(jì)日志進(jìn)行保護(hù)；e)現(xiàn)場核查是否能夠進(jìn)行定期備份。9.1.4可信存儲功能測試要求依據(jù)可信儲存功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查可信儲存是否能夠保證存儲根密鑰存放在可信根內(nèi)部，外部無法獲?。籦)現(xiàn)場核查可信儲存是否能夠保證對關(guān)鍵業(yè)務(wù)數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務(wù)進(jìn)行加密處理。9.1.5可信恢復(fù)功能測試要求依據(jù)可信恢復(fù)功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查是否能夠提供對被保護(hù)系統(tǒng)可信恢復(fù)的功能；b)現(xiàn)場核查在主動度量發(fā)現(xiàn)固件被篡改時，是否能夠提供對固件進(jìn)行恢復(fù)的功能；c)現(xiàn)場核查在固件對操作系統(tǒng)進(jìn)行度量時，發(fā)現(xiàn)操作系統(tǒng)核心被篡改時，是否能夠提供對操作系統(tǒng)核心進(jìn)行恢復(fù)的功能。9.1.6可信通信功能測試要求依據(jù)可信通信功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查可信通信是否能夠?qū)崿F(xiàn)通信雙方的雙向身份鑒別功能；b)現(xiàn)場核查可信通信是否能夠?qū)崿F(xiàn)基于身份鑒別基礎(chǔ)上的會話密鑰協(xié)商功能。9.1.7可信更新功能測試要求依據(jù)可信更新功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查可信更新是否能夠提供對固件更新環(huán)境的可信驗(yàn)證功能；b)現(xiàn)場核查可信更新是否能夠提供對更新固件本身的可信驗(yàn)證功能。9.1.8集中管控功能測試要求依據(jù)集中管控功能要求對其進(jìn)行功能測試：a)現(xiàn)場核查在可信連接的基礎(chǔ)上，是否能夠建立一個加密的數(shù)據(jù)通道，用于設(shè)備與安全組件的遠(yuǎn)程管理；b)現(xiàn)場核查是否能夠通過加密通道，進(jìn)行遠(yuǎn)程的安全可信策略的下發(fā)、更新等操作；c)現(xiàn)場核查是否能夠根據(jù)安全可信策略，將審計(jì)數(shù)據(jù)、報(bào)警信息、日志數(shù)據(jù)通過加密通道，傳輸?shù)竭h(yuǎn)程控制端；d)現(xiàn)場核查是否能夠在集中管控平臺涉及到跨系統(tǒng)之間通信時，部署訪問控制設(shè)備、設(shè)置訪問控制策略，并提供對非法訪問的實(shí)時報(bào)警功能。9.2嵌入式系統(tǒng)可信計(jì)算性能測試要求99.2.1主動度量性能測試要求依據(jù)主動度量性能要求對其進(jìn)行性能測試，嵌入式系統(tǒng)加入了主動度量功能后：a)應(yīng)核查增加的系統(tǒng)啟動時間是否滿足業(yè)務(wù)場景使用需求，是否對系統(tǒng)正常工作不造成影響；b)在針對實(shí)時性要求高的場景下，應(yīng)核查主動度量是否在啟動階段完成，是否在運(yùn)行過程中不觸發(fā)主動度量功能；c)在針對實(shí)時性要求高的場景下，應(yīng)核查其是否能夠通過加大主動度量周期以減少對系統(tǒng)資源的占用。9.2.2可信通信性能測試要求依據(jù)可信通信性能要求對其進(jìn)行性能測試，嵌入式系統(tǒng)加入了可信通信功能后：a)應(yīng)核查可信通信會話建立時間、網(wǎng)絡(luò)數(shù)據(jù)傳輸延時等關(guān)鍵參數(shù)是否滿足業(yè)務(wù)通信實(shí)時性要求。9.2.3安全審計(jì)性能測試要求依據(jù)安全審計(jì)性能要求對其進(jìn)行性能測試：a)應(yīng)核查本地存儲審計(jì)日志的能力是否大于6個月；b)應(yīng)核查遠(yuǎn)程服務(wù)器存儲審計(jì)日志的能力是否大于6個月。9.2.4可信存儲性能測試要求依據(jù)可信存儲性能要求對其進(jìn)行性能測試：a)應(yīng)核查可信存儲過程中加解密對系統(tǒng)性能影響，是否滿足業(yè)務(wù)場景的使用需求；b)應(yīng)核查可信存儲的數(shù)據(jù)加解密速率是否大于500KB/s。9.3嵌入式系統(tǒng)可信計(jì)算安全管理測試要求9.3.1配置管理a)應(yīng)核查產(chǎn)品的不同版本是否存在唯一的標(biāo)識；b)通過人員訪談和文檔查閱，核查開發(fā)者是否使用配置管理系統(tǒng)并提供配置管理文檔；c)應(yīng)檢查該配置管理文檔是否包括配置清單；d)應(yīng)核查配置清單是否唯一標(biāo)識組成產(chǎn)品的所有配置項(xiàng)并對配置項(xiàng)進(jìn)行描述、是否對配置項(xiàng)給出唯一標(biāo)識的方法；e)應(yīng)核查配置管理文檔是否提供所有配置項(xiàng)得到有效維護(hù)的證據(jù)。9.3.2交付與運(yùn)行a)通過人員訪談和文檔查閱，核查開發(fā)者是否使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化；b)應(yīng)檢查該交付文檔是否描述在給用戶方交付產(chǎn)品的各版本時，為維護(hù)安全所必需的所有程序；c)通過人員訪談和文檔查閱，核查開發(fā)者是否提供文檔說明產(chǎn)品的安裝、生成和啟動的過程；d)通過人員訪談和文檔查閱，核查開發(fā)者是否對固件升級的安全要求提供說明文檔。9.3.3開發(fā)a)應(yīng)核查功能設(shè)計(jì)是否使用非形式化風(fēng)格來描述產(chǎn)品安全功能及其外部接口；b)應(yīng)核查功能設(shè)計(jì)是否是內(nèi)在一致的；c)應(yīng)核查是否描述所有外部接口的用途與使用方法，并在適當(dāng)時提供效果、例外情況和錯誤消息的細(xì)節(jié)；d)應(yīng)核查功能設(shè)計(jì)是否完備地表示產(chǎn)品安全功能；e)應(yīng)核查是否按子系統(tǒng)描述安全功能的結(jié)構(gòu)；f)應(yīng)核查是否描述了每個安全功能子系統(tǒng)所提供的安全功能性；g)應(yīng)核查是否標(biāo)識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制所提供功能的一個表示；h)應(yīng)核查是否標(biāo)識安全功能子系統(tǒng)的所有接口；i)應(yīng)核查是否標(biāo)識了該系統(tǒng)的哪些接口是外部可見的。9.3.4指導(dǎo)性文檔應(yīng)核查該管理員指南是否說明以下內(nèi)容：a)管理員可使用的管理功能和接口；b)怎樣安全地管理產(chǎn)品；c）在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；d）所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；e）所有受管理員控制的安全參數(shù)，如果可能，應(yīng)指明安全值；f）每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實(shí)體的安全特性進(jìn)行的改變；g）所有與管理員有關(guān)的IT環(huán)境安全要求；h）非管理員用戶可使用的安全功能和接口；i）提供給用戶的安全功能和接口的使用方法；j）用戶可獲取但應(yīng)受安全處理環(huán)境所控制的所有功能和權(quán)限；k）產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的責(zé)任；l）與用戶有關(guān)的IT環(huán)境的所有安全需求。9.3.5測試應(yīng)檢查測試文檔是否包括以下內(nèi)容：a）通過人員訪談和文檔查閱，核查開發(fā)者是否提供測試覆蓋的證據(jù)；b）應(yīng)核查在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對應(yīng)的；c）應(yīng)核查在功能測試中，測試計(jì)劃是否標(biāo)識要測試的安全功能，并描述測試的目標(biāo)；d）測試過程應(yīng)標(biāo)識要執(zhí)行的測試，并描述每個安全功能的測試概況，這些概況應(yīng)包括對于其他測試結(jié)果的順序依賴性；e）預(yù)期的測試結(jié)果應(yīng)表明測試成功后的預(yù)期輸出；f）實(shí)際測試結(jié)果應(yīng)表明每個被測試的安全功能能按照規(guī)定進(jìn)行運(yùn)作；g）開發(fā)者是否提供合適測試的產(chǎn)品，提供的測試集合是否與其自測產(chǎn)品功能是使用的測試集合相一致；h）開發(fā)者是否提供一組用于安全功能抽樣測試的資源。9.3.6脆弱性評定a)通過人員訪談和文檔查閱，核實(shí)開發(fā)者是否對指導(dǎo)性文檔中所標(biāo)識的每個具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分析，并核查開發(fā)者是否對安全機(jī)制達(dá)到或超過定義的最低強(qiáng)度級別或特定功能強(qiáng)度度量進(jìn)行說明；b)應(yīng)核查開發(fā)者是否執(zhí)行脆弱性分析，并提供脆弱性分析文檔；c)應(yīng)核查開發(fā)者是否從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進(jìn)行分析并提供文檔；d)對每一條脆弱性，應(yīng)核查是否有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利A.1物聯(lián)網(wǎng)設(shè)備應(yīng)用場景圖A.1三態(tài)門控制電路TPCMSPIMaster和CPU都連接到BIOS，在使用的時候要進(jìn)行處理：1.在整個主板上電開始，CPU的Reset被拉住使CPU有電但未開始工作2.在上電開始時刻，需TPCMSPIMaster與BIOS相連接，CPU和BIOS的連接是斷開的3.TPCM主動度量完成并與預(yù)期值一致后，需斷開TPCMSPIMaster與BIOS的連接，此時CPU與BIOS進(jìn)行連接。4.TPCM的GPIO5釋放，與系統(tǒng)的Reset進(jìn)行邏輯與運(yùn)算后使CPU復(fù)位5.TPCM的reset需要>500usA.2充電設(shè)備應(yīng)用場景充電設(shè)備可信計(jì)算總體架構(gòu)示意如圖A.2所示。主要由硬件層結(jié)構(gòu)可信、系統(tǒng)層引導(dǎo)可信、應(yīng)用層軟件可信以及充電設(shè)備可信接入車聯(lián)網(wǎng)運(yùn)營服務(wù)平臺四部分組成。硬件層結(jié)構(gòu)可信包括可信平臺控制模塊對充電設(shè)備的處理器的通信及復(fù)位控制和主動完整性度量，作為信任起點(diǎn)和基礎(chǔ)硬件支撐平臺，支持可信平臺控制模塊完成系統(tǒng)層引導(dǎo)程序的主動度量，支撐可信軟件基完成應(yīng)用層軟件可信度量和驗(yàn)證。硬件層結(jié)構(gòu)可信、系統(tǒng)層引導(dǎo)可信、應(yīng)用層軟件可信確保充電設(shè)備狀態(tài)安全可信的基礎(chǔ)上實(shí)現(xiàn)充電設(shè)備向車聯(lián)網(wǎng)運(yùn)營服務(wù)平臺的可信接入。圖A.2充電設(shè)備可信計(jì)算系統(tǒng)架構(gòu)以帶有計(jì)費(fèi)控制單元（TCU）的電動汽車充電樁為例，可信平臺控制模塊（TPCM）以模塊嵌入的方式融入TCU主板，TCU主板通過通信、電路等硬件設(shè)計(jì)或改造，支撐可信平臺控制模塊（TPCM）首先加電并實(shí)現(xiàn)對TCU的主控MCU進(jìn)行主動控制，形成可信TCU的基礎(chǔ)硬件，嵌入式可信軟件基直接部署于可信TCU上，基于TPCM的支撐實(shí)現(xiàn)對計(jì)費(fèi)控制單元計(jì)算環(huán)境的安全可信保護(hù)。A.3可信工控防火墻應(yīng)用場景圖A.3可信防火墻雙體系架構(gòu)可信工控防火墻在嵌入式可信框架的基礎(chǔ)上，添加防火墻的驅(qū)動和應(yīng)用層設(shè)計(jì)，從而實(shí)現(xiàn)了可信防火墻。其防護(hù)組件以及操作系統(tǒng)、硬件與可信組件的關(guān)系與嵌入式可信框架一致。防火墻應(yīng)用實(shí)現(xiàn)分為幾個組成部分：1）DPDK：驅(qū)動層實(shí)現(xiàn)，繞開操作系統(tǒng)內(nèi)核直接從網(wǎng)卡中獲取流量數(shù)據(jù)，以提高流量的抓取和處理速度。DPDK同時實(shí)現(xiàn)了多進(jìn)程的數(shù)據(jù)分發(fā)；2）DP子系統(tǒng)：數(shù)據(jù)面子系統(tǒng)，從控制面子系統(tǒng)接收配置，響應(yīng)控制面子系統(tǒng)的查詢。提供防火墻的各項(xiàng)安全功能：連接維護(hù)、路由轉(zhuǎn)發(fā)、策略設(shè)置、動態(tài)包過濾、應(yīng)用防護(hù)等；3）CP子系統(tǒng)：控制面子系統(tǒng)，提供系統(tǒng)的基本運(yùn)行環(huán)境，從上層配置管理子系統(tǒng)接收配置，響應(yīng)配置管理子系統(tǒng)的配置查詢；同時，向數(shù)據(jù)面子系統(tǒng)下發(fā)配置，并接收數(shù)據(jù)面子系統(tǒng)上傳的運(yùn)行狀態(tài)和告警信息。4）配置管理子系統(tǒng)：包括WEB服務(wù)和GUI頁面。GUI為用戶提供基于WEB的界面，供用戶對設(shè)備進(jìn)行管理。可實(shí)現(xiàn)配置、修改設(shè)備的工作模式、接口的IP地址，增加、刪除、修改安全策略、地址轉(zhuǎn)換規(guī)則、靜態(tài)路由信息，顯示設(shè)備的連接狀態(tài)，CPU信息，版本號等。WEB服務(wù)為頁面提供API接口，實(shí)現(xiàn)路由管理、配置管理、策略管理、日志管理等功能?？尚殴た胤阑饓υ趯?shí)際場景中的應(yīng)用部署圖：圖A.