信息安全技術(shù) 可信計(jì)算規(guī)范 可信平臺控制模塊-編制說明

國家標(biāo)準(zhǔn)報(bào)批資料工作簡況任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會下達(dá)的國家標(biāo)準(zhǔn)制訂計(jì)劃，由華大半導(dǎo)體有限公司牽頭編制《信息安全技術(shù)可信平臺控制模塊規(guī)范》（國標(biāo)計(jì)劃號：2018xxxx-T-xxx）標(biāo)準(zhǔn)編制的主要成員單位項(xiàng)目成員單位主要包括：華大半導(dǎo)體有限公司、北京工業(yè)大學(xué)、全球能源互聯(lián)網(wǎng)研究院有限公司、同濟(jì)大學(xué)、北京可信華泰信息技術(shù)有限公司、中船重工集團(tuán)709研究所、武漢大學(xué)、上海兆芯集成電路有限公司、北京新云東方系統(tǒng)科技有限責(zé)任公司、浪潮（北京）電子信息產(chǎn)業(yè)有限公司、中安科技集團(tuán)有限公司、玖章信息科技有限公司、藍(lán)瑪卓信科技（上海）有限公司、阿里巴巴集團(tuán)公司等主要工作過程2018年10月9日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》由牽頭單位華大半導(dǎo)體有限公司在上海主持召開TPCM草案首次全體成員會議，召集了可信計(jì)算業(yè)內(nèi)的主要企業(yè)與研究所等單位約50名專家進(jìn)行現(xiàn)場封閉會議研討。會上就TCM與TPCM關(guān)系、TPCM主動度量技術(shù)、雙體系結(jié)構(gòu)等焦點(diǎn)問題進(jìn)行了討論。會議完成了標(biāo)準(zhǔn)的主體章節(jié)構(gòu)建。2018年10月15日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》國家標(biāo)準(zhǔn)研討會在北京聘請了沈昌祥院士對標(biāo)準(zhǔn)草案框架內(nèi)容進(jìn)行指導(dǎo)。會議主要對標(biāo)準(zhǔn)描述的細(xì)化程度進(jìn)行了咨詢，特別是關(guān)于TPCM模塊的工程實(shí)現(xiàn)問題。沈昌祥院士指出，TPCM工程實(shí)現(xiàn)不限定方式，既可以通過多核CPU方式實(shí)現(xiàn)，也可通過外部獨(dú)立芯片實(shí)現(xiàn)，TPCM國家標(biāo)準(zhǔn)制定應(yīng)從頂層框架角度考慮。2018年10月17日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》國家標(biāo)準(zhǔn)草案在北京進(jìn)行了組內(nèi)專家的評審。專家意見集中在TPCM在系統(tǒng)的位置，明確它與主機(jī)、TSB、TCM的關(guān)系，以及與上下層接口關(guān)系；信任相關(guān)的建立過程；標(biāo)準(zhǔn)中對策略的描述；可信驗(yàn)證的流程等。專家建議盡快根據(jù)意見修改后提交會議周進(jìn)行工作組討論。2018年10月26日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》國家標(biāo)準(zhǔn)草案在青島進(jìn)行了WG3組成員單位專家的上會討論。會議主要對草案進(jìn)行專家及成員單位的審議，專家問題主要集中在標(biāo)準(zhǔn)的原理性描述過多，缺少功能要求描述內(nèi)容。會議上，編制組對產(chǎn)業(yè)應(yīng)用問題進(jìn)行了回復(fù)，并詳細(xì)記錄了專家的修改意見。2018年11月-2019年3月，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》工作組多次召開組內(nèi)研討會，針對前階段會議建議及分歧點(diǎn)進(jìn)行了整理、綜合分析，經(jīng)過仔細(xì)辯論，編制組通過封閉會議對標(biāo)準(zhǔn)結(jié)構(gòu)進(jìn)行了比較大幅度調(diào)整，并成立章節(jié)小組進(jìn)行了內(nèi)容的細(xì)化編制。2019年3月28日，項(xiàng)目組聯(lián)合相關(guān)產(chǎn)業(yè)單位召開研討會。此次會議主要的目的是對《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》草案的修改及更新內(nèi)容向成員單位進(jìn)行匯報(bào)和意見收集，為專家審查及寧波會議周上會討論做最后準(zhǔn)備。此次會議對TPCM支撐的可信計(jì)算平臺雙體系框架框圖及可信驗(yàn)證功能流程等細(xì)節(jié)部分進(jìn)行了描述的規(guī)范性調(diào)整。2019年4月11日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》工作組召開了工作組專家評審會，項(xiàng)目組根據(jù)專家意見對標(biāo)準(zhǔn)和編制說明進(jìn)行了訂正。將封面、標(biāo)題、正文格式進(jìn)一步進(jìn)行規(guī)范化；統(tǒng)一對名詞、接口的描述；特別是對第9章進(jìn)行了詳細(xì)描述修改。2019年4月21日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》國家標(biāo)準(zhǔn)草案在寧波信安標(biāo)委工作組會議周進(jìn)行了研討。會上WG3專家及成員單位在框架、標(biāo)準(zhǔn)名稱、標(biāo)準(zhǔn)內(nèi)容給予了寶貴的意見，并建議該標(biāo)準(zhǔn)為與其它可信計(jì)算系列標(biāo)準(zhǔn)統(tǒng)一，將標(biāo)準(zhǔn)名稱《信息安全技術(shù)可信平臺控制模塊規(guī)范》更改為《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺控制模塊》。按照建議，細(xì)化TPCM硬件包含內(nèi)容和接口、添加了可信計(jì)算平臺和可信管理中心的定義、刪減了與TPCM沒有直接關(guān)系的模塊并增加了模塊說明。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題標(biāo)準(zhǔn)編制原則標(biāo)準(zhǔn)編制原則為：自主性原則：建立符合我國國情的具有自主知識產(chǎn)權(quán)的可信計(jì)算技術(shù)體系，從源頭上保證信息安全，保護(hù)國家安全。系統(tǒng)性原則：建立可信平臺控制模塊標(biāo)準(zhǔn)要從系統(tǒng)的角度出發(fā)?？尚庞?jì)算體系覆蓋范圍廣，而可信平臺控制模塊是整個可信計(jì)算體系的基礎(chǔ)，要充分考慮可信計(jì)算體系中各部分與可信平臺控制模塊間的關(guān)系。協(xié)調(diào)性原則：確?，F(xiàn)有，正在制定和將要制定的涉及不同行業(yè)的國家標(biāo)準(zhǔn)以及與行業(yè)標(biāo)準(zhǔn)，特別是等級保護(hù)標(biāo)準(zhǔn)之間的協(xié)調(diào)性，還要考慮與相關(guān)標(biāo)準(zhǔn)體系的協(xié)調(diào)性。銜接性原則：可信計(jì)算是一個復(fù)雜的體系，要確?？尚牌脚_控制模塊與可信體系中的其它標(biāo)準(zhǔn)間的銜接性以保證標(biāo)準(zhǔn)體系的配套性，從而發(fā)揮標(biāo)準(zhǔn)體系的綜合作用。相關(guān)性原則：按照相關(guān)程度，選擇和可信平臺控制模塊直接相關(guān)的，相互影響，相互銜接的標(biāo)準(zhǔn)納入到本安全標(biāo)準(zhǔn)體系中。兼容性原則：可信平臺控制模塊標(biāo)準(zhǔn)應(yīng)與國內(nèi)的相關(guān)安全標(biāo)準(zhǔn)如加密標(biāo)準(zhǔn)等保持兼容，以保證能互連互通。開放性原則：制定的可信平臺控制模塊標(biāo)準(zhǔn)應(yīng)是一個開放的體系，允許通過動態(tài)擴(kuò)展來滿足增強(qiáng)的安全性要求，保持先進(jìn)性。確定主要內(nèi)容的依據(jù)標(biāo)準(zhǔn)制定的依據(jù)為：依據(jù)《商用密碼管理?xiàng)l例》（國務(wù)院273號令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號），旨在推動我國可信計(jì)算應(yīng)用的可持續(xù)發(fā)展。解決的主要問題可信平臺控制模塊(TPCM)是承載我國可信計(jì)算標(biāo)準(zhǔn)體系的底層平臺，是獨(dú)立于主機(jī)實(shí)施安全控制的關(guān)鍵部件，以可信雙系統(tǒng)架構(gòu)方式搭建防護(hù)系統(tǒng)時(shí)，擔(dān)負(fù)著在硬件層面實(shí)現(xiàn)對主機(jī)監(jiān)控、管理TCM等可信密碼資源的任務(wù)，同時(shí)也支撐著可信計(jì)算機(jī)系統(tǒng)初始化過程中靜態(tài)度量的任務(wù)。它是我國可信計(jì)算體系的重要環(huán)節(jié)，也是支撐國內(nèi)等級保護(hù)2.0要求中建可信鏈、動態(tài)度量和實(shí)時(shí)控制等功能的基礎(chǔ)部件。因此，本標(biāo)準(zhǔn)制定時(shí)，首先考慮TPCM在雙系統(tǒng)體系架構(gòu)下，如何發(fā)揮作用，特別是如何獨(dú)立于CPU、先于CPU對系統(tǒng)進(jìn)行監(jiān)控，以確?；赥PCM構(gòu)建的可信平臺，其底層安全控制權(quán)可以從TPCM出發(fā)。同時(shí)，也考慮到開發(fā)商在非高安全級別環(huán)境中，期望依托TPCM來構(gòu)建系統(tǒng)信任鏈，為應(yīng)用提供可信服務(wù)功能的需求，確認(rèn)TPCM可以為這一需求提供支持。本標(biāo)準(zhǔn)主要規(guī)定TPCM為完成上述任務(wù)，所應(yīng)實(shí)現(xiàn)的功能流程，應(yīng)具備的功能模塊，與主機(jī)、TSB、TPCM管理和TCM之間的接口，以及其自身的安全防護(hù)和運(yùn)行維護(hù)要求，以明確如下幾個問題：TPCM在可信計(jì)算體系中的位置。因?yàn)楸緲?biāo)準(zhǔn)主要考慮的是TPCM支撐雙體系架構(gòu)的應(yīng)用場景，所以在標(biāo)準(zhǔn)第5章描述了TPCM支撐的可信計(jì)算功能框架，如標(biāo)準(zhǔn)圖1所示。圖中明確TPCM是系統(tǒng)的底層硬件，其向下調(diào)用可信密碼模塊獲取密碼支撐，向上接收可信軟件基下發(fā)的策略，在硬件層面直接與計(jì)算組件交互以實(shí)現(xiàn)對計(jì)算部件的主動監(jiān)控。應(yīng)用TPCM的系統(tǒng)一般對安全有較高要求，可類比等級保護(hù)標(biāo)準(zhǔn)中三級及以上信息系統(tǒng)。在這些信息系統(tǒng)中，一般需要建設(shè)由安全管理中心集中管理安全保障體體系。此時(shí)，TPCM的使用模式可如圖1所示：圖1：TPCM在集中管理的安裝保障體系中的應(yīng)用方式圖中，安全管理中心的基本信任基策略（包括初始策略和初始度量基準(zhǔn)值等）通過安全信道（如專用設(shè)備接口，安全的網(wǎng)絡(luò)通信）由TPCM管理程序部署到TPCM中。在可信平臺運(yùn)行過程中，安全管理中心下發(fā)的安全策略則可以通過可信網(wǎng)絡(luò)連接傳到可信平臺的可信軟件基中，其中系統(tǒng)底層控制策略由可信軟件基下發(fā)到TPCM中，由TPCM與系統(tǒng)的固件/硬件控制點(diǎn)對接以實(shí)施底層安全控制。此外，TPCM在資源充足的情況下，還可以為TSB提供一個受保護(hù)的、獨(dú)立于計(jì)算部件的運(yùn)行環(huán)境（圖一中虛線所示），以增強(qiáng)可信部件的保障能力。在一些對動態(tài)度量要求不高或不需要雙系統(tǒng)體系架構(gòu)的場合，也可以取消可信軟件基，由TPCM管理程序管理TPCM，向上層提供靜態(tài)的可信度量與控制功能支持。TPCM主要為主機(jī)做什么標(biāo)準(zhǔn)第6章規(guī)定了TPCM的驗(yàn)證流程，說明TPCM可在主機(jī)啟動階段進(jìn)行可信平臺啟動驗(yàn)證，在程序加載階段進(jìn)行應(yīng)用程序可信驗(yàn)證，在程序執(zhí)行階段進(jìn)行執(zhí)行環(huán)節(jié)動態(tài)驗(yàn)證，在系統(tǒng)運(yùn)行期間執(zhí)行實(shí)時(shí)驗(yàn)證關(guān)聯(lián)感知，并可以為網(wǎng)絡(luò)連接提供認(rèn)證。TPCM組成結(jié)構(gòu)標(biāo)準(zhǔn)第7章從邏輯上劃分了TPCM的結(jié)構(gòu)，規(guī)定TPCM硬件上應(yīng)是一個包含處理器、易失存儲器和非易失存儲器、總線和I/O接口組成的具有獨(dú)立性的系統(tǒng)，軟件上則包含操作系統(tǒng)、基本輸入輸出系統(tǒng)和功能模塊，并為主機(jī)、TSB、TPCM管理和TCM提供接口。TPCM與周邊的交互方式標(biāo)準(zhǔn)第8章規(guī)定了TPCM與計(jì)算部件、TSB、TPCM管理以及TCM的功能接口方式、類型、和輸入、輸出要求。其中對計(jì)算部件的接口包括訪問內(nèi)存、IO、系統(tǒng)固件等系統(tǒng)資源，并對IO總線、電源等。對TSB則主要是提供可信認(rèn)證、主動度量、加密保護(hù)、主動控制和可信報(bào)告等接口。對TPCM管理則是提供TPCM自身管理、TCM管理、基本信任基（對應(yīng)TPCM中可信啟動驗(yàn)證部分）以及管理日志的接口，考慮到現(xiàn)代信息系統(tǒng)遠(yuǎn)程可信管理的普遍需求，管理接口應(yīng)支撐網(wǎng)絡(luò)接口方式。對TCM則應(yīng)提供符合TCM要求的I/O接口，并可以讓對計(jì)算部件對接到TCM功能服務(wù)接口上。因?yàn)榻涌诘募?xì)節(jié)涉及到多個模塊及其具體功能的確定，和平臺與使用場景也有關(guān)系，以后需要為不同接口定制專門的接口標(biāo)準(zhǔn)，當(dāng)前的標(biāo)準(zhǔn)只用來確定接口的分類和主要用途。而TPCM作為一個內(nèi)部包含核心軟件的平臺，應(yīng)有能力實(shí)現(xiàn)接口的升級以適應(yīng)未來接口標(biāo)準(zhǔn)的要求。TPCM安全防護(hù)。標(biāo)準(zhǔn)第9章規(guī)定了TPCM安全防護(hù)要求。在安全防護(hù)上，要求TPCM具備身份鑒別功能以鑒別合法與非法用戶，要求TPCM具備資源訪問控制功能以防范非授權(quán)的信息竊取與篡改，要求TPCM具備審計(jì)功能以記錄對TPCM的操作以備追查，對TPCM的存儲空間提出不開放地址、清除臨時(shí)數(shù)據(jù)等要求以保護(hù)存儲空間安全，對TPCM的數(shù)據(jù)保護(hù)提出封裝、安全數(shù)據(jù)遷移及備份等要求，以保護(hù)TPCM的數(shù)據(jù)，對TPCM的物理防護(hù)提出要求，以保護(hù)整個TPCM的計(jì)算環(huán)境。TPCM運(yùn)行維護(hù)要求標(biāo)準(zhǔn)第10章規(guī)定了TPCM運(yùn)行維護(hù)的要求，包括TPCM啟動時(shí)的主動自檢、收到自檢命令后的被動自檢、自檢的異常處理以及狀態(tài)維護(hù)的要求。本標(biāo)準(zhǔn)主要規(guī)范了可信平臺控制模塊（TPCM）的功能定義；提出了TPCM的系統(tǒng)組成框架、TPCM操作系統(tǒng)功能規(guī)范；明晰了TPCM的防護(hù)機(jī)制和信任體系建立過程；明確了可信平臺控制模塊與其它組成部分（計(jì)算部件、TSB、管理程序、TCM）之間的接口；定義了TPCM的安全防護(hù)要求以及運(yùn)行維護(hù)要求。標(biāo)準(zhǔn)主要內(nèi)容：第5章TPCM支撐的可信計(jì)算平臺雙體系框架定義了基于TPCM的計(jì)算部件與防護(hù)部件并行的雙體系可信計(jì)算功能框架第6章可信平臺功能流程規(guī)定了TPCM主要的可信驗(yàn)證功能流程第7章TPCM功能架構(gòu)從邏輯上劃分了TPCM的結(jié)構(gòu)，規(guī)定了TPCM的基礎(chǔ)硬件資源、基礎(chǔ)軟件、功能服務(wù)，給出了功能接口的分類。第8章TPCM接口規(guī)定了TPCM對主機(jī)、TSB、TPCM管理和TCM的四類接口的類型、功能和輸入/輸出要求。第9章安全防護(hù)規(guī)定了TPCM實(shí)現(xiàn)安全防護(hù)所需的身份鑒別、資源訪問控制、審計(jì)、存儲空間安全、數(shù)據(jù)保護(hù)、物理防護(hù)等安全要求第10章運(yùn)行維護(hù)規(guī)定了TPCM運(yùn)行時(shí)所需的自檢、狀態(tài)維護(hù)等功能要求主要試驗(yàn)[或驗(yàn)證]情況分析華大半導(dǎo)體有限公司、國民技術(shù)、國網(wǎng)、阿里巴巴等芯片和應(yīng)用單位對標(biāo)準(zhǔn)內(nèi)容在服務(wù)器、嵌入式系統(tǒng)、數(shù)據(jù)傳輸單元（DTU）、工業(yè)PLC等領(lǐng)域進(jìn)行了試用驗(yàn)證，達(dá)到預(yù)期防御效果。知識產(chǎn)權(quán)情況說明無。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況無。與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性與標(biāo)準(zhǔn)體系中的其他標(biāo)準(zhǔn)：GB/T29827—2013信息安全技術(shù)可信計(jì)算規(guī)范可信平臺主板功能接口GB/T29828—2013信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)GB/T29829—2013信息安全技術(shù)可信計(jì)算密碼支撐平臺功能與接口規(guī)范GB/TAAAAA—AAAA信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T36639—2018信息安全技術(shù)可信計(jì)算規(guī)范服務(wù)器可信支撐平臺協(xié)調(diào)無沖突。重大分歧意見的處理經(jīng)過和依據(jù)在本標(biāo)準(zhǔn)編制過程當(dāng)中，有單位提出本標(biāo)準(zhǔn)應(yīng)當(dāng)清晰定義TPCM的功能，并說明與可信密碼模塊TCM之間的關(guān)系。本標(biāo)準(zhǔn)采納了該意見，給出了TPCM的功能定義，并對于TPCM與TCM之間的關(guān)系進(jìn)行了說明。有單位提出了期望TPCM提供兼容TCG標(biāo)準(zhǔn)規(guī)范的使用方式的需求。本標(biāo)準(zhǔn)主要討論雙系統(tǒng)體系架構(gòu)TPCM應(yīng)用模式，因此在正文中未提及相關(guān)說明。標(biāo)準(zhǔn)制定方討論了現(xiàn)有TPCM標(biāo)準(zhǔn)支持該應(yīng)用方式的可行性，結(jié)論是現(xiàn)有TPCM標(biāo)準(zhǔn)所規(guī)定的TPCM架構(gòu)并不會限制此種應(yīng)